IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci

Transcript

1 IP Intelligence IP Fingerprinting per l antifrode Emanuele Bracci

2 Techub: presenza sul territorio Siti principali: Roma Milano Parma Presidi: L Aquila Mestre Più di 80 specialisti sul territorio nazionale

3 Techub: Servizi per la la sicurezza informatica Discovery: Analisi delle vulnerabilità, tecniche ed organizzative del cliente (Vulnerability Assessment / Penetration Testing / Social Engineering / Ethical Hacking) Execution: Implementazione di soluzioni tecniche ed organizzative a breve e lungo termine (Application security / Perimeter Defense/ DLP / End Point Protection / Network Hardening) Compliance: Supporto legale, tecnico e organizzativo per l adozione di standard e il rispetto di norme e regolamenti ( Privacy / ISO / Basilea 2 ) Governance: Gestione del rischio legato ai processi chiave ed alle applicazioni strategiche. Scelta di policy e strumenti per il Risk Management (Early Warning Intelligence / Incident Response) Continuity: Sviluppo di policy per la sicurezza e la continuità. Monitoraggio dei piani di gestione del rischio (Business Continuity Plan / Disaster recovery / Workplace Recovery) Products: Sviluppo e commercializzazione di soluzioni innovative per il fraud management

4 La IP Intelligence

5 Il modello completo per la sicurezza:layered Identity & Access Management Access Auditing Secure Access Risk-Based Authorization Multi-Factor Authentication End-Point Assessment Connection Assessment?

6 IP Fingerprinting Access Auditing Secure Access Risk-Based Authorization Multi-Factor Authentication End-Point Assessment Connection Assessment?

7 Perchè analizzare le connessioni? Connessioni violate Es. Attacco tipo Man-in-the-Middle (MITM) Dove l aggressore è in contatto simultaneo con il cliente e la banca Intercettando le credenziali di autenticazione e utilizzandole in tempo reale Devices violati, credenziali di accesso sottratte Es. Trojans / Malware / Spyware Quando il software di aggressione intercetta e modifica i dati sul computer dell utente Quando l aggressore è in possesso di credenziali e token sottratti Qualsiasi cosa venga richiesta all utente in fase di autenticazione Può essere registrata da malicious software presenti sul device dell utente o rediretta in transito ad un server

8 Quali dati si utilizzano Ambiente banca Rete mondiale di Raccolta indirizzi IP Database di ricerca Algoritmi automatici Rete di analisti geografici

9 Un esempio di informazioni deducibili BANCA Rete Pubblica Satellite Utente Get_IPInfo: Location = Milano, Lombardia ITA Connessione = DSL Indirizzo IP Internet POP WAP Mobile Gateway Indirizzo IP Corp. Gateway Utente domestico DSL Dial-up Utente Utente aziendale VPN Utente WiFi Utente mobile WiFi

10 Le informazioni utili per la IP Intelligence Informazioni Geografiche Caratteristiche di Rete Continente: Paese: Regione: Fuso orario: Stato / Provincia: DMA: MSA / PMSA: Città: Lat. / Lon.: Codice di Area: Codice Postale: nord america usa (99) Sud-ovest -8.0 ca (94) 807 / 7360 san francisco (90) / ASN: Carrier: verizon internet services inc. Top Level Domain: net 2 nd Level Domain: verizon AOL Flag: 0 Metodo di Routing: fisso Tipo di Connessione: dsl Velocità di Connessione: media

11 informazioni irrinunciabili: i proxy anonymizer IP Intelligence IP Geolocation Continente Paese + CF Regione Stato/Provincia + CF DMA / MSA Città + CF Codice Postale Prefisso telefonico Fuso orario Latitudine/Longitudine Stato Caratteristiche di rete ASN Carrier Dominio (second.top) AOL Flag Tipo Routing Tipo Connessione Velocità Connessione Anonymizer

12 Fingerprint

13 IP Digital fingerprint

14 Fingerprint Ogni individuo ha impronte digitali caratteristiche Ognuna di esse lo definisce in maniera univoca

15 IP Digital fingerprint Ogni individuo ha diverse impronte digitali IP (una per tipo di connessione) L insieme di queste lo può caratterizzare in maniera restrittiva

16 IP Digital fingerprint: Utilizzo pratico Anche se le credenziali elettroniche vengono sottratte e si utilizzano in modo fraudolento token, il profilo della connessione non si simula!

17 La strategia giusta? Adottare un modello di sicurezza stratificato (Layered security) Preferire strumenti di eccellenza e trasparenti a strumenti monolitici e chiusi. Questo approccio consente di intervenire con miglioramenti sui singoli strati al presentarsi di nuove minacce e metodi di aggressione E più facile ricondurre uno stack di sicurezza modulare alla propria policy, piuttosto che adeguare monoliti verticali Utilizzare uno strato di sicurezza di connessione sofisticato che: Consente di effettuare un efficace filtro preliminare Protegge il cliente anche in caso di credenziali e token sottratti Permette la piena funzionalità attraverso l autenticazione dinamica Conferire alle blacklist un giusto valore: Un cybercriminale raramente utilizza più volte lo stesso device/indirizzo/connessione per eseguire attacchi E più efficace valutare quanto la connessione in esame si discosta dal profilo del cliente piuttosto che riferirsi a blacklist che diventano rapidamente molto ampie ed obsolete

18 Grazie per l attenzione