Recitare a memoria la password zw67ghhj+1-tyb!!ytsa per partecipare a questo seminario sulla sicurezza

Transcript

1 Recitare a memoria la password zw67ghhj+1-tyb!!ytsa per partecipare a questo seminario sulla sicurezza Alessio L.R. Pennasilico - apennasilico@clusit.it Richard Zoni - richard.zoni@vasco.com Security Summit 4 Ottobre Verona

2 Alessio L.R. Pennasilico Security Members of: Associazione Informatici Professionisti, CLUSIT, OPSI/AIP Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, Hacker s Profiling Project Spippolatori.org, IISFA, Metro Olografix, CrISTAL 2

3 Richard Zoni Channel Manager Italy 3

4 Domanda Come avete fatto ad entrare? :) 4

5 Password un problema che gestiamo da decenni litigando con gli utenti cercando di scrivere policy sicure ed applicabili... 5

6 La soluzione più economica Sono tranquillo per 21 Milioni di anni. perchè la mia password è: rtyx*pk2%9 - inventata da Richard ADESSO - dimenticata da Richard tra 5 MINUTI forse è meglio se me la scrivo! rtyx*pk2%9 6

7 Policy come memorizzarla e trasmetterla lunghezza complessità durata riutilizzo intervallo minimo per il cambio lock-out Non usare dati banali, non condividere, etc etc 7

8 Furbizia La percezione di password come impedimento porta gli utenti a cercare di aggirare le policy imposte costringendoci a scrivere policy più stringenti peggiorando la produttività ed aumentando l impatto sull IT 8

9 Secondo Gartner il 25% delle richieste di help desk hanno a che fare con problemi di autenticazione 9

10 Obblighi di legge in Italia D.Lgs. 196/2003 Allegato B Disciplinare tecnico in misure minime di sicurezza c.d. Decreto Amministratori di Sistema 10

11 Estimated time to brute force psw per second passw length non-case alphanum. upper/lower all print. 4 <1min <1min 1 min 13 min 5 <1min 10 min 1hr 22 hrs 6 50 min 6 hr 2 days 3 mo 7 22 hr 9 days 4 mo 20 yrs 8 24 days 10 mo 17 yrs 2287 yrs 9 21 mo 33 yrs 881 yrs yrs yrs 1159 yrs yrs 21 myrs 11

12 Violabilità delle password Per indovinare una password esistono diverse tecniche spesso varia anche il contesto di applicazione per questo esistono diversi strumenti 12

13 Tecniche Password guessing Shoulder Surfing Sniffing On-line attack Off-line attack 13

14 L approccio al problema... 14

15 Credenziali 15

16 C era una volta una principessa Re-install new pasword (Step2) The name of my favorite PET? 16

17 Identity theft Solo un furto di denaro? 17

18 Uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi 18

19 Vendere credenziali $"4.00" $"0.40" $"1.00" $"10.00" 19

20 $"425.00" Lunch&Learn with VASCO DIGIPASS and Intel as a Service 47 20

21 Password più usate password Qwerty Abc123 pippo Myspace1 Password1 pussy Nome proprio 21

22 Esempi Esistono diversi programmi per indirizzare diverse tipologie di password cracking 22

23 Cain & Abel 23

24 John the Ripper 24

25 Hydra hydra - L uid.txt - P pwd.txt / ftp - f Hydra v4.1 (c) 2004 by van Hauser / THC use allowed only for legal purposes. Hydra ( starting at :21:37 [DATA] 16 tasks, 1 servers, 132 login tries (l:12/p:11), ~8 tries per task [DATA] attacking service ftp on port 21 [21][ftp] host: login: luser password: pippo [STATUS] attack finished for (valid pair found) Hydra ( finished at :21:44 25

26 dizionari in italiano... 26

27 Rainbow tables Per violare le password criptate perdo molto tempo a criptare le password del dizionario per fare il match...se avessi un db con tutte le password in chiaro e tutte le rispettive versioni criptate... 27

28 Sniffing Le rainbow table sono molto comode anche per decriptare eventuali password criptate che passano in rete su segmenti sotto il mio controllo 28

29 Da cosa non proteggono? Utilizzare una efficace password policy non mi tutela da altri attacchi mirati a scardinare il processo di autenticazione 29

30 Input validation Nel caso di SQL Injection, ad esempio, la password policy è ininfluente sull attacco Una policy debole, tuttavia, potrebbe aiutare una successiva privilege escalation 30

31 SSL L utilizzo di comunicazioni criptate è fondamentale per proteggere la riservatezza delle informazioni. Se il mio sistema è vulnerabile, tuttavia, sarà vulnerabile su un canale criptato magari impedendo all IDS di rilevarlo... 31

32 L angolo dello sponsor

33 VASCO VASCO è un azienda globale con HQ in Svizzera e USA Quotata al NASDAQ: VDSI #1 al mondo per le soluzioni di autenticazione forte e firma digitale. oltre clienti in 100 paesi del mondo, tra cui banche (8 su 10 e-banking utilizzano vasco) oltre 100 milioni di autenticatori DIGIPASS venduti nel mondo Leader nei settori: e-banking online applications online gaming e-government 33

34 Campi di Attività Autentication Forte degli utenti Log-on verifica sicura che l utente sia chi pretende di essere Firma Elettronica Sicurezza di un messaggio/transazione (integrità e non ripudio) tra due soggetti che si conoscono Firma Digitale Sicurezza di un messaggio/transazione tra due soggetti che potrebbero non conoscersi, e le cui identità viene garantita da una terza parte. Tecnologia PKI 34

35 Challengers Leaders Ability to execute Niche players Visionaries Completeness of Vision 35

36 Mercati di riferimento B-2-C internet banking online gaming, betting, gambling e-governement government to citizens government to governement B-2-B reti di vendita, reti di partner, franshise, retailers,... Enterprise Security Sicurezza dei dipendenti Protezione SaaS applicazioni online, vendute as a service applicazioni in the cloud 36

37 Full Option, All-Terrain Authentication VASCO s Mission is to Authenticate the World VASCO s Vision: VASCO is the FULL OPTION, ALL TERRAIN authentication company VASCO combines all authentication technologies on one and unique platform VASCO s products can be used in unlimited verticals VASCO secures people all over the world 37

38 All-terrain = all applications Accesso Remoto (VPN, VPN-SSL, Citrix) Desktop: Log-on a Windows, Extranet, Web Portals, Web Applications Healthcare Automotive B-to-B Social Security E-brokerage E-banking E-commerce E-government Publishing Industry Education Online gaming 38

39 DPS vs VASCO Server Products 39

40 IDENTIKEY Enterprise Edition Remote Clients Web/AD Administration Administration Report Management & Generation Windows Logon Online Authentication Offline Data Synchronization ` Customer Web Applications Authentication/Signature API Administration API Provisioning API Report Management & Generation SOAP SOAP SEAL SSL SEAL TCL Automation Administration Report Management SEAL Citrix/OWA/IIS6 RADIUS Client RADIUS IDENTIKEY DB RADIUS LDAP via Windows API via Custom API ODBC Active Directory Backend RADIUS Windows LDAP Legacy 40

41 Client Side: DIGIPASS Factory A.L.R. Pennasilico - R. Zoni - Security Summit,Verona

42 dp+ IPT DESS DESS 42

43 Solution Partners Encryption Authentication LAN Authentication Remote Authentication Application Authentication A.L.R. Pennasilico - R. Zoni - Security Summit,Verona

44 Fattori di autenticazione Qualcosa che so Qualcosa che ho Qualcosa che sono 44

45 Autenticazione a più fattori Posso combinare più fattori tra loro: username password (qualcosa che so) PIN dinamico generato da un device (qualcosa che ho) impronta digitale (qualcosa che sono) 45

46 Single Sign-on Comodissimo per l utente Un possibile boomerang per la sicurezza 46

47 User Directory Active Directory LDAP Radius Kerberos DB SOAP 47

48 One Time Password Intercettabile? Con PIN aggiuntivo? Integrabile? Device fisico - Token vs SMS: pro o contro? 48

49 SmartCard Soggetta a diversi attacchi nel tempo mi lega ad un oggetto fisico ma soprattutto alla presenza di un lettore sul client che uso 49

50 RFID Contactless, molto comodo Troppo spesso facile da leggere, clonare mi lega ad un oggetto fisico ma soprattutto alla presenza di un lettore sul client che uso 50

51 Certificato Difficile da indovinare Statico Bisogna averlo sempre con se Scade? Dove lo conservo? Come lo trasmetto? 51

52 Biometria Qualcosa che sono pro: lo sono solo io contro: lo sono sempre e per sempre. oppure no. 52

53 Fake fingerprints Per clonare impronte digitali è possibile acquistare un kit su Internet di facile utilizzo 53

54 CCC e fingerprint Il ministro tedesco Schäuble era un grande fautore della biometria prima che il CCC pubblicasse la sua password, che non può essere cambiata 54

55 L impronta è consapevole? Alcuni lettori biometrici richiedono oltre al posare il dito, di eseguire alcune azioni Questo al fine di assicurarsi la volontarietà del gesto da parte del possessore del dito 55

56 WiFi Che algoritmo uso? Non importa, esiste una shared password? 56

57 Esempi Integrazione OTP Reverse Proxy Gestione Ospiti Fall back 57

58 Conclusioni

59 Conclusioni Il processo di AAA è distribuito e complesso Il suo impatto su IT e sugli utenti, quindi sul business, è sempre molto forte Tutte le informazioni che conservo su AAA devono essere tenute costantemente aggiornate 59

60 Conclusioni Abbiamo un vasto set di soluzioni da poter adottare Dobbiamo fare attenzione alla loro interoperabilità, costo, usabilità e sicurezza 60

61 These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same license :) Grazie dell attenzione! Domande? Alessio L.R. Pennasilico - apennasilico@clusit.it facebook:alessio.pennasilico - twitter:mayhemspp Richard Zoni - richard.zoni@vasco.com Security Summit 4 Ottobre Verona