LA TECNOLOGIA CONTRO L HACKING

Transcript

1

2 LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A.

3 I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line. Il ruolo, le tecniche e i vantaggi del vulnerability assessment. Defacement Scanner ed iplegion: due strumenti innovativi per proteggersi dall hacking.

4 E*MAZE in breve E*MAZE nasce nel Novembre 2000 da precedenti esperienze nel mondo IT / Security Tra i soci è presente MB Venture Capital Fund di Alice Ventures Organico di 22 persone con alta specializzazione di security E la prima azienda in Italia a sviluppare soluzioni di security scanning Associazioni con enti di rilevanza mondiale (CERT)

5 Finanziatori Alice Ventures fa parte del Venture Capital Project di Mediobanca,, SDA Bocconi e del Politecnico di Milano. Il fondo è sponsorizzato dalle principali aziende italiane

6 Lo scenario della Security Scarsa capacità di rilevare le intrusioni informatiche 38% delle grandi aziende sono a rischio (fonte:: Men&Mice, 2001) Forte crescita (57%) degli attacchi da Internet (fonte:: CSI, 1999) Un qualsiasi computer riceve 10 attacchi/probes al giorno (fonte: Schneier,, 2000)

7 GLI ATTACCANTI: Corrono pochi rischi Difficilmente rintracciabili Di origine internazionale GLI STRUMENTI D ATTACCO: Sofisticati ma semplici da usare Automatizzati Progettati per attacchi su larga scala CONTROMISURE: Difficili da implementare a posteriori Mancano standard legislativi uniformi

8 Distribuzione geografica delle attack sources Top Attacker: Most Attacked Port: 80

9 Evoluzione delle tecniche d attacco Elevata complessità Self Replicating Code Password Cracking Back Doors Exploiting Known Vulnerabilities Stealth Diagnostics Sweepers Hijacking Sessions Disabling Audits Packet Forging/ Spoofing Sniffers Complessità delle tecniche d attacco Skill necessari Bassa complessità Password Guessing

10 Vulnerabilità delle piattaforme di commercio elettronico e sistemi di pagamento on-line Input validation Access control error Configuration error (default) Resource error

11 I TARGET WebDiscount.net eshop Commerce DCShop Shopping Cart (beta version) CardService International LinkPoint Gateway PDG Shopping Cart Akopia Interchange e-commerce system IBM WebSphere Commerce Suite Siti individuabili con semplici search engines o specifici hacker tools (no security through obscurity)

12 ESEMPIO DI HACKER TOOL PER LA RICERCA DI SITI CON PIATTAFORME E-COMMERCE VULNERABILI $search_engine_url = " $link = "status='([^']*)"; $next = "a href=\"([^\"]+).*\\[next"; search_engine_scan("$search_engine_url/sites/search /web?q=dcshop&pg=q&kl=xx"); if ($google) { print STDERR "\nscanning using google"; $search_engine_url = " $link = "<p><a HREF=([^>]*)"; $next = "A HREF=([^>]+).*<b>Next<\\/b>"; search_engine_scan("$search_engine_url/search?q=d CShop"); A volte basta una semplice modifica dell URL

13 RISULTATO: Esecuzione di comandi da remoto sul web server Nomi e indirizzi dei clienti e numeri delle carte di credito in plaintext per gli ordini più recenti Dati di autenticazione (ID e password) del cliente e del merchant Accesso alla back-end administration area (gestione ordini e prodotti) Denial of Service Attacks Esecuzione di arbitrary code sul sistema locale

14 I MOTIVI DI TANTA VULNERABILITA Sviluppo di soluzioni commerciali centrate sulla massimizzazione del numero di optional e funzioni Crescente complessità Integrazione di applicativi a volte solo parzialmente compativi Insufficiente beta-testing Scarsa attenzione al problema della sicurezza in fase di progettazione

15 E queste sono soltanto le vulnerabilità strettamente legate alle piattaforme di commercio elettronico e pagamento on-line Aggiungete quelle di: Router, switch, firewall, web server, mail server, Data Base, sistemi operativi, software, applicativi proprietari e di tutte le altre apparecchiature comunque connesse alla rete

16 Attacchi ai web server. Preludio a NIMDA Fonte: Security Focus, 2001

17 I rischi di un errata configurazione Il caso Microsoft Corp. DNS Single Point of Failure

18 PROBLEMI DI CONFIGURAZIONE DEI WEB SERVER PATCHING Il mancato o inadeguato patching delle macchine è stato responsabile del 99% dei web site defacements del 2000 (+56% rispetto ai del 1999) in base ai dati di Attrition.org

19 Perche web server? Stats traffico in % porta 80 : il male necessario Unita di successo : imprese Problema : defacement Attrition : 3*( )= 1 gennaio 01 Script Kiddies : unita di successo = defacement

20 Come trovare debolezze Operazioni legittime mirror sito trovare directory, file e valori nascosti analisi CGI CGI abuse Non esitono tools per fare auditing automatico di CGI proprietari

21 Nuove vulnerabilità vengono scoperte ogni settimana Fonte: BUGTRAQ

22 LA DIFESA È possibile prevenire questi attacchi Tramite appositi software di VULNERABILITY ASSESSMENT

23 FUNZIONE Individuare vulnerabilità, errori di configurazione e backdoors Simulare una sequenza di attacchi Prevenire danni economici Prevenire danni d immagine IN MODO SISTEMATICO E CONTINUATIVO BUSINESS ENABLER

24 UPDATE IL CICLO DELLA SICUREZZA DI E*MAZE Continuo aggiornamento del database delle vulnerabilità PROBE Analisi approfondita del sistema REPORT/FIX Report dettagliato e suggerimento delle soluzioni adottabili SCHEDULE Monitoraggio costante attraverso una programmazion e degli interventi

25 La tecnologia: iplegion Controllo: continuo monitoring della sicurezza Test: esamina la rete dall esterno e/o interno simulando degli attacchi informatici Analisi: trova vulnerabilità, misconfigurazioni e backdoors Risultato: Produce reports dei risultati trovati e fornisce indicazioni su fix

26 Architettura iplegion Scan su reti Client s Public Internet KBS DB interf. Scout Scout Public Internet singolo IP www Ogni modulo e ridondato Possibilita di distribuire il sistema su Scout remoti Scout Scan remoti

27 Caratteristiche Indipendente dalla piattaforma HW/SW del cliente Interfaccia web Gli aggiornamenti del sistema sono immediatamente fruibili Scalabile in funzione delle esigenze del cliente

28 Report Istogrammi sull incidenza per tipologia di rischio rilevato Tabelle sul numero delle vulnerabilita trovate, classificate per entita di rischio

29 Descrizione dettagliata del servizio Porte trovate aperte Link alla descrizione del servizio

30 L offerta E*MAZE iplegion (scansione perimetrale) intralegion (scansione Intranet) Penetration Testing (Ethical Hacking)

31 SICUREZZA A 360 Anche il massimo livello di sicurezza di un sito non è sufficiente se i propri partner non adottano delle soluzioni di sicurezza adeguate. Il livello di sicurezza effettivo è quello dell anello più debole della catena. Spesso le aziende sono vittima di attacchi proprio quando si illudono di avere un sistema di sicurezza perfettamente efficiente.

32 VANTAGGI Consentono di: individuare le vulnerabilità PRIMA che vengano utilizzate da terzi per fini illeciti; mantenere un aggiornamento della sicurezza allo stato dell arte; quantificare le aree a maggior rischio di impatto finanziario o d immagine disporre di misure correttive da implementare secondo una lista di priorità, allineate agli obiettivi di business

33 Contatti LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks s SpA