Quando inizi ad accettare l'impossibile, rischi di scoprire la verità

Transcript

1 Quando inizi ad accettare l'impossibile, rischi di scoprire la verità (sulla sicurezza delle applicazioni in the cloud) Verona, Milano, Roma Phone/Fax

2 Security Board of Directors: Associazione Informatici Professionisti, CLUSIT, OPSI Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, Hacker s Profiling Project! 2

3 Di cosa ci occupiamo? Servizi a valore aggiunto: Gap Analysis, Gestione della Compliance, Penetration Test, Attack Mitigation, Hardening, Crisis Management, Formazione Gestione dell infrastruttura: Switching, Routing, Firewalling, Bridging, Wireless, VoIP, Virtualization 3

4 Security Operation Center ERT SOC 4

5 World Wide Work Customers Conferences Customers & Conferences 5

6 Research Programs CrISTAL Critical Infrastructures Security Testing and Analysis Lab Childhood ITSec Awareness Permanent Program 6

7 Credits Grazie ai colleghi con i quali lavoro su questi temi: Elisa Bortolani Raoul Chiesa Andrea Zapparoli Manzoni Daniele Martini Enzo Maria Tieghi 7

8 Disclaimer Sono personalmente responsabile di tutto quel che dirò, che rappresenta la mia opinione e la mia soltanto 8

9 - Lo scenario

10 Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell anno precedente cosa ci si aspetta dall anno in corso 10

11 Contenuti Panoramica degli eventi cybercrime e incidenti informatici più significativi del 2012, verificatisi in Italia e nel mondo, con tendenze per il 2013 ed oltre Analisi del mercato italiano della sicurezza ICT e tendenze degli investimenti delle aziende. Analisi e prospettive del mercato del lavoro nel nostro settore. 7 Focus on: Mobile Security, Social Media Security, Cloud Security, Sicurezza in Sanità, e-commerce, il protocollo IPv6, Il salvataggio delle informazioni e la continuità di servizio. 11

12 Cosa emerge? Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci 12

13 Panoramica cybercrime Analisi della situazione italiana Fonte: Paolo Passeri

14 Perché preoccuparsi? Nel 2012 gli attacchi noti che hanno prodotto un danno ingente a chi li ha subiti in termini economici o di immagine sono aumentati del 252% Campione 1652 attacchi internazionali 14

15 Trend di crescita VITTIME&PER&TIPOLOGIA Totale Incremento Ins$tu$ons:)Gov),)Mil),)LEAs),)Intelligence ,44% Others ,00% Industry:)Entertainment)/)News ,26% Industry:)Online)Services)/)Cloud) ,67% Ins$tu$ons:)Research),)Educa$on ,00% Industry:)Banking)/)Finance) ,06% Industry:)SoQware)/)Hardware)Vendor ,52% Industry:)Telco ,73% Gov.)Contractors)/)Consul$ng ,16,67% Industry:)Security)Industry: ,17,65% Religion) ,00% Industry:)Health ,00% Industry:)Chemical)/)Medical ,00% TOTALE ,24 15

16 Chi attacca? Perché?

17 L Italia #1 I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012) Gli utenti di Social Network sono l 85,6% degli utenti online (23 M) Il 28% della popolazione usa uno smartphone (17 M) In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena consapevolezza dei rischi informatici e di prendere contromisure. Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security efficaci (educazione, prevenzione, gestione degli incidenti) Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi. 17

18 L Italia #2 Nel 2012 l Italia è al nono posto a livello globale per la diffusione di malware e soprattutto al primo posto in Europa per numero di PC infettati e controllati da cyber criminali (le cosiddette botnet). Nel ,9 milioni di italiani sono stati colpiti da una qualche forma di crimine realizzato via Internet (sono diventati i reati più diffusi) Solo Eurograbber (ZitMo) ha coinvolto in Italia 16 istituti bancari ed utenti, causando il furto di oltre 16 milioni di euro in pochi giorni. 18

19 Cosa ci aspettiamo? Cybercrime: in mancanza sia di barriere all ingresso che di forme efficaci di contrasto e disincentivazione, altri gruppi si uniranno a quelli già oggi in attività. Aumenteranno fortemente sia i crimini informatici, sia quelli tradizionali veicolati e/o commessi con l ausilio di sistemi ICT. Hacktivism: sempre più distruttivo, aumenteranno attacchi DDoS e data leakage. Cyber Espionage: attacchi sempre più sofisticati sponsorizzati da governi, corporations e gruppi criminali in un contesto di tutti contro tutti. Cyber Warfare : non ci sarà cyber war aperta, almeno per 1-2 anni, ma tutti si preparano attivamente a combatterla, investendo ingenti risorse. Schermaglie ed incidenti con frequenza crescente (Cyber Cold War). Crescente rischio di Black Swans ed instabilità sistemica diffusa. 19

20 - Hacker ed i media

21 Titolo #2 C'è una guerra là fuori e non vincerà chi ha più pallottole 21

22 Contributo video 22

23 Quote del Video Il nostro mondo non è più dominato dalle armi, dall'energia, dai soldi; è dominato da piccoli uno e zero, da bit e da dati, tutto è solo elettronica. C'è una guerra là fuori, amico mio. Una guerra mondiale. E non ha la minima importanza chi ha più pallottole, ha importanza chi controlla le informazioni. Ciò che si vede, si sente, come lavoriamo, cosa pensiamo, si basa tutto sull'informazione! 23

24 Internet è reale 24

25 Titolo #3 Clicca qui per fare avere tutti i tuoi dati ad una organizzazione criminale 25

26 SecurityFocus breach November So what apparently occured was Fluffi Bunny replaced that banner ad. If you poke around thruport.com, you will see that many images were replaced with the Fluffi banner ad. As a result, various web sites that use the thruport.com service had the alternate banner appear throughout the day. 26

27 Quanta attenzione... 27

28 WikiLeaks "Could become as important a journalistic tool as the Freedom of Information Act." Time Magazine 28

29 Anonymous 29

30 Lulzsec 30

31 CCC Le forze dell ordine tedesche utilizzano malware per spiare i criminali/cittadini? 31

32 Forze dell ordine In Italia? 32

33 SecurityFocus breach November So what apparently occured was Fluffi Bunny replaced that banner ad. If you poke around thruport.com, you will see that many images were replaced with the Fluffi banner ad. As a result, various web sites that use the thruport.com service had the alternate banner appear throughout the day. 33

34 Quanta attenzione... 34

35 Pallottole... 35

36 Credenziali 36

37 Identity theft Solo un furto di denaro? 37

38 Uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi 38

39 Password in chiaro Analisi tecnica? Analisi del rischio? 39

40 Chi vuole le informazioni? La criminalità organizzata mondiale ha capito da tempo che con quelli dei computer è possibile gestire truffe estremamente redditizie 40

41 Costo di un incidente? Il danno medio di una intrusione informatica è in costante aumento Il costo per commissionare un attacco è in costante diminuzione Il numero di intrusioni informatiche... 41

42 Problema tecnologico? Siamo sicuri che il problema sia l informatica? Il budget? Il tempo? 42

43 - Da chi ci dobbiamo difendere?

44 Hacker s Profiling Project Il progetto H.P.P. si pone l obiettivo di analizzare il fenomeno tecnologico, sociale ed economico dell hacking e del cybercrime nelle sue mille sfaccettature, mediante approcci sia di tipo tecnico che criminologico 44

45 Hacker I do it for one reason and one reason only. I'm learning about a system. The phone company is a System. A computer is a System, do you understand? If I do what I do, it is only to explore a system. Computers, systems, that's my bag. The phone company is nothing but a computer. Captain Crunch Tratto da Secrets of the Little Blue Box Esquire Magazine, Ottobre

46 I profili 46

47 L etica e la percezione 47

48 Deterrenti 48

49 Cosa si evince? Dal curioso che gioca con gli amici al criminale al servizio dei criminali che non conosce deterrente... 49

50 - Conseguenze nel mondo reale

51 Mobile Botnet di Smartphone 51

52 iphone Worm: Rickrolls Jailbreak di iphone: qualcuno cambia la password di root? (Novembre 2009) 52

53 PDF 53

54 54

55 Bakeca.it DDoS 55

56 SCADA 56

57 L automazione Industriale Un tema così attuale e difficile da trattare Clusit ha prodotto una monografia per approfondire il tema 57

58 WiFi in fabbrica 58

59 Un tema sempre più noto 59

60 Worms In August 2003 Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours. NIST, Guide to SCADA 60

61 Disgruntled employee Vitek Boden, in 2000, was arrested, convicted and jailed because he released millions of liters of untreated sewage using his wireless laptop. It happened in Maroochy Shire, Queensland, may be as a revenge against his last former employer. 61

62 Il costo dell hardening Cliente con Altoforno gestito da PC PC in LAN Stima dei costi in caso di fermo-forno Stima dei costi per isolare PC ed Altoforno in una VLAN dedicata, il cui traffico sia filtrato a L3 3M vs 3K : progetto bocciato 62

63 - Cloud Marketing

64 Performance Il cloud mette a disposizione risorse che difficilmente sarebbero gestibili in-house anche da clienti finali anche molto grandi 64

65 Flessibilità Sul cloud posso aumentare o diminuire le risorse utilizzate (pagate) secondo necessità 65

66 Sicurezza I grandi player garantiscono strumenti tecnologici e di governance che offrono una sicurezza superiore a quella che dovrebbero garantire le soluzioni in-house 66

67 Disponibilità Il cloud utilizza strumenti e protocolli standard, garantisce l interoperabilità e la possibilità di trasportare il dato da un contesto all altro 67

68 Cloud Un mondo dorato di soffici arcobaleni? 68

69 Cloud Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati Bertolt Brecht 69

70 Value proposition? DDOS? High Performance? Scaling resorces? Pay per use? Dynamic adapting? Mobile users? 70

71 Non è tutto oro... Ma forse è ora? 71

72 Problemi secondari PT? Data location? Audit? 72

73 Digital divide Hai abbastanza banda? Una linea di backup? 73

74 - La commedia

75 Personaggi Il Governo Gli Hacker Il Popolo Internet Noi 75

76 Abientazione Dove si è svolta l intera commedia per me 76

77 Ambientazione Reale? 77

78 Ambientazione Reale? 78

79 Prologo 79

80 Prologo A volte la realtà supera la peggiore delle fiction 80

81 - La notte del 19 Gennaio

82 SOPA Stop Online Piracy Act La legge permetterebbe ai titolari di copyright statunitensi di agire direttamente per impedire la diffusione di contenuti protetti. A seconda del richiedente, le sanzioni potrebbero includere il divieto ai network pubblicitari o ai siti di gestione dei pagamenti d'intrattenere rapporti d'affari con il sito accusato delle infrazioni, il divieto ai motori di ricerca di mantenere attivi link verso il sito in questione e la richiesta agli Internet Service Provider di bloccare l'accesso al sito web. 82

83 La protesta 83

84 La protesta Google Wired Huffington Post Wordpress EFF Reddit BoingBoing Twitter Tumblr Craiglist Mozilla ArsTecnica O Reilly TechCrunch Xkcd GoDaddy Vimeo Amazon 84

85 Il Grande giubilo I cittadini orientano la politica Grande vittoria della democrazia 85

86 FBI vs MegaVideo 86

87 Anonymous 87

88 L opinione di 2600 Most importantly, these attacks are turning attention away from what is going on with Wikileaks. This fight is not about a bunch of people attacking websites, yet that is what is in the headlines now. It certainly does not help Wikileaks to be associated with such immature and boorish activities any more than it helps the hacker community. From what we have been hearing over the past 24 hours, this is a viewpoint shared by a great many of us. 88

89 - Mega* & Kim

90 Kim Kimble Schmitz Dotcom 90

91 Kimble come lo ricordiamo... 91

92 Le reazioni nell underground 92

93 Kimble e la legge As a teenager, Dotcom earned a reputation in his native Germany for cracking corporate PBX systems in the United States [ ] That effort led to his arrest on charges of using and selling stolen calling card numbers. [ ] In 1998, Dotcom was sentenced to a probationary sentence of two years for computer fraud and handling stolen goods. 93

94 Kimble ed il denaro In January 2002, Dotcom was arrested in Bangkok, Thailand, deported to Germany, and sentenced to a probationary sentence of one year and eight months, and a 100,000 fine, the largest insider-trading case in Germany at the time. Dotcom also pleaded guilty to embezzlement in November 2003 and received a two-year probation sentence. 94

95 Kimble e l innovazione In 1999, [ ] presented the "Megacar", a Brabustuned Mercedes-Benz S-Class W220 which, among other features, had a Windows NT server, a 17.3" SGI flat panel display and combined 16 GSM modules to provide mobile broadband Internet access. 95

96 Kimble e la musica MegaUpload is currently being portrayed by the MPAA and RIAA as one of the world s leading rogue sites. But top music stars including P Diddy, Will.i.am, Alicia Keys, Snoop Dogg and Kanye West disagree and are giving the site their full support in a brand new song. 96

97 Kimble e SOPA We implemented this to give users the fastest and most direct channel to our sites, Kim told TorrentFreak. Mega is not concerned about SOPA or Protect IP. We are a legitimate online service provider, online for 7 years. 97

98 Errore? 98

99 - Dubbi

100 Domande nella notte Dove sono i nostri dati? Chi li può visionare? Conservare? I miei dati da chi verranno visionati? Saranno sempre nella mia disponibilità? 100

101 Riservatezza? Kimble è tra i buoni o i cattivi? Resta il CEO pluricondannato che poteva chiedere ai suoi tecnici di vedere i dati dei clienti 101

102 Mega*: solo film ed MP3? Dove sono ora i dati delle aziende paganti? Cosa fare degli abbonamenti pre-pagati? 102

103 Paranoia is a virtue 103

104 - Cloud services

105 Servizi cloud Possono essere declinati in diverse modalità operative 105

106 Cloud Services 106

107 SaaS (Software as a Service) - Consiste nell'utilizzo di programmi installati su un server remoto, cioè fuori del computer fisico o dalla LAN locale, spesso attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine oggi in disuso, ASP (Application service provider)

108 DaaS (Data as a Service) - Con questo servizio vengono messi a disposizione via web solamente i dati ai quali gli utenti possono accedere tramite qualsiasi applicazione come se fossero residenti su un disco locale

109 HaaS (Hardware as a Service) - Con questo servizio l'utente invia dati ad un computer che vengono elaborati da computer messi a disposizione e restituiti all'utente iniziale

110 PaaS (Platform as a Service) - Invece che uno o più programmi singoli, viene eseguita in remoto una piattaforma software che può essere costituita da diversi servizi, programmi, librerie, etc. (ad esempio Google's App Engine) 110

111 IaaS (Infrastructure as a Service) - Utilizzo di risorse hardware in remoto. Questo tipo di cloud è quasi un sinonimo di Grid Computing, ma con una caratteristica imprescindibile: le risorse vengono utilizzate su richiesta o domanda al momento in cui una piattaforma ne ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo

112 Cloud services 112

113 Cloud services 113

114 Cosa proteggere? A seconda del servizio sottoscritto possiamo adottare diverse misure 114

115 SSL Solo perché sono paranoico non significa che non mi stiano seguendo

116 Cosa proteggere? Proteggere una applicazione è impossibile Proteggere una infrastruttura è doveroso 116

117 Ambienti misti 117

118 IaaS Segregation 118

119 Firewall Cosa posso proteggere? 119

120 AF Possiamo proteggere le nostre applicazioni se il deploy ha previsto questa funzionalità 120

121 WAF E quasi certamente roba web : posso fare security su quel traffico? 121

122 Protocolli del secolo scorso Posso gestire correttamente protocolli complessi? Lo posso fare io? 122

123 VPN E necessario aggiungere ulteriori layer di sicurezza? E possibile farlo? 123

124 DNS Non sottovalutate l importanza delle Pagine Gialle 124

125 Chi sei? Cloud provider MSSP Cloud System Integrator Rivenditore Cliente 125

126 Etica... DPI Filtering 126

127 Compliance Che leggi è necessario rispettare? Che policy è necessario rispettare? 127

128 Strumenti Che caratteristiche devono avere gli strumenti usati? 128

129 Dati sensibili? Cosa carico in the cloud? 129

130 Dati in the cloud Posso criptare le informazioni? Posso fare dei backup? 130

131 Dati in the cloud Posso anonimizzare le informazioni ove necessario? Retention in caso di cancellazione? 131

132 Altri meccanismi Come gestisco servizi basati su certificati? 132

133 Monitoring Posso monitorare i miei servizi? Quali / Come? 133

134 No-Cloud Il Cloud Computing può essere un importante strumento per creare valore per l azienda tramite l ottimizzazione di alcuni processi. Tuttavia va valutato con attenzione, sotto ogni aspetto implementativo ed organizzativo. 134

135 Strumenti Non sempre è possibile utilizzare gli strumenti che siamo abituati ad avere a disposizione L importante è poter utilizzare che avevo deciso essere necessari 135

136 - Conclusioni

137 Conclusioni Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci 137

138 Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sulle persone 138

139 Cosa fare? Rischi facili da prevenire difficili da mitigare a posteriori 139

140 No-Cloud Il Cloud Computing può essere un importante strumento per lavorare meglio. Vanno valutate con attenzione i rischi. 140

141 Conclusioni L informatica deve rispondere alla necessità di creare valore per il business deve rispondere alla necessità di tutelare tutti gli asset aziendali 141

142 Conclusioni L analisi del rischio è e deve essere mirata a tutelare gli asset aziendali 142

143 Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso 143

144 Bibliografia (Intervista a Courtney Love)

145 Domande? Grazie! These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution- ShareAlike 2.5 version; you can copy, modify or sell them. Please cite your source and use the same licence :) Verona, Milano, Roma Phone/Fax