Come lavora il CERT Difesa

Transcript

1 COMANDO C4 DIFESA Capo Ufficio Piani e Sicurezza e Capo del CERT Difesa TC Come lavora il CERT Difesa Col. AAras Enrico RIGHETTI Roma 30 novembre 2011

2 SOMMARIO Il CERT Difesa Il SOC La minaccia Conclusioni

3 IL CERT COMPUTER EMERGENCY RESPONSE TEAM - Difesa - (CERT)

4 IL CERT DigitPA C.N.A.I.P.I.C. C.N.A.I.P.I.C. CERT Militari NATO Industria /Accademia SMD II Reparto Informazioni e Sicurezza Coordination Centre SMD VI Reparto Sistemi C4I e Trasformazione Comando C4 Difesa CERT Technical Centre Open Source CERT CERT CERT CERT CERT Esercito Italiano Marina Militare Aeronautica Militare Arma dei Carabinieri Segredifesa DNA Cyber Security intelligence Coordinamento difesa reti A.D. Cyber Defence Early Warning Gestione Incidenti informatici

5 CERT Difesa CC - TC IL CERT Fornisce i servizi di: Analisi della Minaccia Cibernetica e delle Vulnerabilità Cyber Defence Early Warning Supporto alle attività di risposta agl incidenti informatici (Incident Response) Cyber Defence Operational Picture Data Base centralizzato degli incidenti Prime attività di dottrina digitale (Digital Forensics) Scambio di informazioni Studio e gestione dell incidente (Incident Handling) Attività di Cyber Defence Condotta delle esercitazioni di Cyber Defence

6 IL CERT CERT - TC: cosa fa -Contenimento e risposta ad incidenti in ambito SMD; -Coordinamento e supporto ai CERT di F.A.; -Raccolta delle informazioni di incidenti e contromisure. Eventi che abbiano come conseguenza l alterazione del normale funzionamento dei servizi erogati sulla rete della Difesa dovuto ad intervento umano (in senso strettamente tecnologico, oppure di corretto uso)

7 Il Cert Difesa Il SOC La minaccia Conclusioni

8 IL SOC SECURITY OPERATION CENTRE (SOC)

9 IL SOC Cosa fa Fornisce i servizi finalizzati alla Sicurezza dei Sistemi informativi; gestisce le funzionalità di sicurezza legate all'infrastruttura IT (rete, sistemi ed applicazioni); svolge il monitoring in tempo reale al fine di individuare tempestivamente tentativi di intrusione e di attacco contro l'infrastruttura IT; eroga servizi Proattivi finalizzati a migliorare il livello di protezione dell'organizzazione (Security assessments, vulnerability assessments, early warning, security awareness); svolge la funzione di CERT nelle attività di Incident Response.

10 Cosa gestisce IL SOC TIPO Firewall IPS IDS TM BM LS SIEM App. DigitPA Traffic Shaper FUNZIONE filtra i pacchetti dati da e verso una rete applicando una serie di regole che contribuiscono alla sicurezza delle stesse prevenzione di intrusioni da connessioni pubbliche identificazione intrusioni analisi del traffico gestione attiva della banda raccolta dei log dai sistemi specifici per raccolta log FW, IDS perimetrali raccolta ed analisi delle informazioni scansione automatica delle vulnerabilità sistema per la gestione degli incidenti condivisi protezione perimetrale anti DOS, DDOS

11 Dove agisce IL SOC WEB VOIP I MESSAGE DATABASE VPN

12 Il Cert Difesa Il SOC La minaccia Conclusioni

13 La Minaccia Nelle ultime 36h: 150 Port Scanning: tecnica per raccogliere informazioni su computer connessi in rete; 30 Tentativi di Denial of Service: portare il funzionamento di un sistema informatico, che fornisce un servizio ad esempio un Web, al limite delle sue prestazioni computazionali attività anomale di possibili Botnet

14 La Minaccia Tipico esempio di di phishing Da: Mail Administrator (NON E' UN MITTENTE CONOSCIUTO O APPARTENENTE AL DOMINIO DIFESA) >Oggetto: WEBMAIL FINALE AVVISO ADMIN CENTER > >La tua casella di posta elettronica è quasi pieno. (NOTARE LA FORMA LINGUISTICA NON ESATTAMENTE CORRETTA) >23 GB su 20 GB > >La cassetta postale ha superato il limite di archiviazione di 20GB come >definito dall'amministratore, Ora si lavoro a 20.9GB, (NOTARE LA FORMA LINGUISTICA NON ESATTAMENTE CORRETTA) >

15 La Minaccia >Che potrebbero non essere in grado di inviare o ricevere messaggi fino >a quando si aggiorna Posta in arrivo. (NOTARE LA FORMA LINGUISTICA NON ESATTAMENTE CORRETTA) >Clicca sul link qui sotto per aggiornare il proprio account. > >hxxp://codifesa.com/phpform/use/links/form1.html (IL LINK NON APPARTIENE AL DOMINIO DELLA DIFESA, ANCHE SE SIMILE, TANTOMENO AL DOMINIO DEL > >NOTA: Se si è in grado di ri convalidare tua casella di posta, la >vostra cassetta postale verrà disabilitato! (NOTARE LA FORMA LINGUISTICA NON ESATTAMENTE CORRETTA)

16 La Minaccia Tipico esempio di e- mail di phishing ad un elevato livello di sofisticazione segue..

17 La Minaccia Ad un primo controllo tutto risulta essere credibile: Mittente ok Testo - qualitativamente circostanziato e in buon italiano ok Casualmente l utente è anche cliente PostePay ok Tutto coincide e dunque l utente clicca sul link consigliato per aggiornare i dati ed eseguire le istruzioni in esso contenute; tutto volontariamente comunica dati personali fondamentali.

18 La Minaccia Peccato che : Le informazioni preziose non arriveranno mai al server PostePay bensì ad un server italiano che non ha nulla a che fare con Poste Italiane. Solo un utente tecnicamente informato può verificare inoltre che la provenienza del messaggio risale ad un server fisicamente dislocato nella Repubblica Ceca

19 Received. Omissis.... Received. Omissis.... Received. Omissis.... Received. Omissis.... Received. Omissis.... Received: from mailrelayxxxx.xxx.difesa.it (mailrelayxxx.xxx.difesa.it [ ]) by mailrelayxxx.xxx.difesa.it (Postfix) with ESMTP id 157BB7CABEF for Fri, 25 Nov :16: (CET) Received. Omissis.... Fri, 25 Nov :16: (CET) Received: from xxxxxx.difesa.it (localhost.localdomain [ ]) by xxxx.difesa.it (Postfix) with SMTP id E442427E212 for Fri, 25 Nov :16: (CET) Received: from msbadger0102.apple.com (msbadger0102.apple.com [ ]) by ubmsys3.difesa.it (Postfix) with ESMTP id 9A67C27E20A for Fri, 25 Nov :16: (CET) DKIM Signature: v=1; a=rsa sha1; d=insideapple.apple.com; s=insideapple; c=relaxed/simple; q=dns/txt; t= ; h=from:subject:date:to:mime Version:Content Type; bh=bvev/kvv2y9wmdx/jzblsnknvja=; b=cmodlwaqn+oh7a/bxoxdtxc1tn31nxxvgt6ghauow1smh+na4q3gxmtexxfzvef1 Orq41skQ12B74qs4sdiSlQ==; Date: Thu, 24 Nov :16: From: Apple To: Message ID: Subject: Solo oggi. Il giorno di shopping speciale. La Minaccia È un indirizzo IP reale di un server di posta Apple?

20 SI È un indirizzo IP reale di un server di posta Apple La Minaccia

21 La Minaccia 2 Originariamente conteneva un allegato Russian spies.doc confezionato per sfruttare una vulnerabilità di Office non rilevata dal programma antivirus 1 Questo messaggio, sembra avere ancora una volta tutti i requisiti ma il mittente è conosciuto? 3 L utente, insospettito dal contenuto alquanto «improbabile» ha segnalato l evento al CERT Difesa TC che ha girato l allegato al produttore del programma antivirus in uso per verificarne il livello di pericolosità ed aggiornare il programma stesso.

22 La Minaccia Da Fecebook..a. Koobface è un worm informatico che colpisce gli utenti della rete sociale di Facebook. Koobface dopo il clik rimanda la connessione internet su pagine di "finti antivirus" o pubblicitarie. Koobface si diffonde inviando messaggi con richieste di amicizia o visualizzazioni di video tipo "Guarda come sei buffo qui..." agli utenti di Facebook. (fonte wikipedia)

23 MALGRADO : La Minaccia TUTTE LE PRECAUZIONI ADOTTATE, GLI AVVERTIMENTI RICEVUTI, ARRIVANO MESSAGGI O MAIL PERFETTI SOTTO OGNI ASPETTO TROVANO SICURE RISPONDENZE AI NOSTRI CHECK (.mittente, logo, contesto, riferimenti.) MA C E UN INSOSPETTABILE E A VOLTE INSIGNIFICANTE PARTICOLARE CHE LI RENDE PERICOLOSISSIMI Il CLICK!

24 Il Cert Difesa Il SOC La minaccia Conclusioni

25 Conclusioni Condividere Riconoscere Per difendersi Prevenire

26 Esercitazione di Cyber Defence Nazionale 2010 Conclusioni Condividere

27 Conclusioni Riconoscere le vere minacce attraverso Quotidiane esperienze; Contatti con gli altri CERT/Organismi; Rapporti con partner accademici; Contatti con laboratori di noti prodotti commerciali; Partecipazioni a workshop e conferenze; Aggiornamenti quotidiani da siti di settore; Corsi di formazione specializzati; Organizzazione di tavole rotonde.

28 Conclusioni D a r e a l i z z a r e Prevenire e costruire Centro Nazionale di Cyber Defence Cyber Command con acquisizione di Autorità Unico Cyber Command Nazionale Centro di risposta Nazionale Noi siamo qui Computer Emergency Response Team (CERT)

29 Ricordiamoci Conclusioni Tutti possono essere attaccati La leadership deve dare le priorità Il centro nazionale deve dare le direttive La costante evoluzione del malware modifica continuamente lo scenario della guerra cibernetica: Occorre un approccio globale per la difesa delle Infrastrutture Critiche Un pesante attacco cibernetico alle Infrastrutture Critiche sarebbe economicamente devastante Le attività di spionaggio consentite e non, hanno offerto involontariamente molte opportunità ad associazioni criminali. La burocrazia è un arma devastante a favore dei cattivi

30 E una continua sfida a Guardie e Ladri....

31 Ma. ad un altra velocità

32 Grazie per l attenzione Col. Enrico Righetti Mail: c4.capouct@smd.difesa.it