La tua tecnologia vista da un hacker

Transcript

1 La tua tecnologia vista da un hacker Quali rischi corriamo ogni giorno? Alessio L.R. Pennasilico Confindustria Vicenza - 26 Febbraio 2015

2 $whois -=mayhem=- Security Committed: AIP Associazione Informatici Professionisti CLUSIT, Associazione Italiana per la Sicurezza Informatica IISFA, Italian Linux Society, Metro Olografix Sikurezza.org, Spippolatori... 2

3 #iosonopreoccupato 3

4 Perché occuparsi di security?

5 L importanza delle informazioni 5

6 #iosonopreoccupato 6

7 Quanta attenzione... 7

8 Economia digitale 8

9 Ci attaccano per questo? 9

10 Identity theft: solo uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi 10

11 Rapporto Clusit 2015

12 Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell anno precedente e cosa ci si aspetta dall anno in corso 12

13 #iosonopreoccupato 13

14 Cosa emerge? Non importa chi sei Non importa cosa fai Non importa con cosa lo fai Ti attaccheranno E se non ti sarai protetto in modo adeguato subirai dei danni 14

15 Tutti vengono colpiti 15

16 16

17 Botnet Infetto il maggior numero possibile di host Li uso per fare spam, phishing, spit, vishing, DDoS Le affitto a chi vuole gestire da se le stesse attività Avendo il controllo del PC non mi costa nulla cercare dati personali 17

18 RBN 18

19 DDoS for Dummies Pay Russian Business Network DDOS Cost: $300 for 24 hours Month long prices available, no need to plan ahead. Also available for $50 per hour

20 DDoS Market 20

21 Managing an attack 21

22 Trend? Aumentano i tentativi di intrusione Tra i tentativi aumentano quelli andati a buon fine Ad ogni intrusione perdiamo sempre più denaro 22

23 23

24 24

25 Aumento dei Black Swan 25

26 #iosonopreoccupato 26

27 Ransomware Ti cripto tutti i dati e chiedo il riscatto per dati la chiave per poterli consultare di nuovo 27

28 17 Novembre Novembre device infetti x $ 750 = $ % di x $ 750 = $

29 Cryptolocker Mobile? 29

30 Un esempio concreto

31 OWASP 10 Ten 31

32 Autenticazione 32

33 Come funziona di solito 33

34 Autenticazione: dietro le quinte select * from users where username= $_POST[username] AND password= $_POST[password] 34

35 SQL Injection: premesse Inserisco al posto della password: OR 1 = 1 35

36 SQL Injection (video) 36

37 SQL Injection: risultato select * from users where username= $_POST[username] AND password= OR 1 = 1 37

38 Come mi proteggo? Evito di processare i caratteri speciali come Prevedo il processo che si chiama normalizzare l input 38

39 #iosonopreoccupato 39

40 Altri rischi? Posso interrogare il DB e ottenere tutti i dati contenuti: ' UNION ALL SELECT NULL,username,password,NULL FROM utenti WHERE 'x'='x (provate ad inserire questa stringa in Ricerca Contatto...) 40

41 Password in cleartext 41

42 Esempio di cash-out Guadagna da casa, diventa il ns. responsabile commerciale, dacci il tuo IBAN e dovrai solo riscuotere le fatture dei ns. clienti Italiani. Le ragioni sono meramente fiscali. 42

43 Conclusioni

44 Evoluzione La tecnologia si evolve e con essa anche le minacce! 44

45 IT Security... Un inutile impedimento che rallenta le comuni operazioni e danneggia il business? 45

46 IT Security... O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore? 46

47 Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sul business 47

48 Cosa dobbiamo affrontare? Rischi facili da prevenire difficili da mitigare a posteriori 48

49 Optional? 49

50 Più GRCI per tutti! 50

51 #iosonopreoccupato 51

52 Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso 52

53 I Rischi Devo scegliere quali mitigare quali accettare quali trasferire per non farmi cogliere impreparato... 53

54 Grazie dell attenzione! Domande? Alessio L.R. Pennasilico twitter: mayhemspp - FaceBook: alessio.pennasilico - linkedin:alessio.pennasilico Confindustria Vicenza - 26 Febbraio 2015