L evoluzione delle minaccie e degli impatti hacking e malware per il settore finance. OWASP Security Summit Milano Marzo 2012

Transcript

1 L evoluzione delle minaccie e degli impatti hacking e malware per il settore finance Marco Morana Global Industry Committee Foundation Security Summit Milano Marzo 2012 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The Foundation

2 Conoscete? 2

3 Agenda Della Presentazione PARTE I: L evoluzione degli scenari di computer e internet hacking, attacchi ed agenti di minaccia PARTE II: Analisi delle minaccie di hacking malware e degli impatti per il settore finance PARTE III: Evoluzione ed efficacia delle contromisure e criteri per la mitigazione dei rischi di hacking-malware 3

4 PARTE I: L evoluzione degli scenari di internet hacking, attacchi ed agenti di minaccia 4

5 Evoluzione delle minaccie hacking-malware Lo scenario delle minaccie e cambiato negli ultimi 10 anni: Ieri: attacchi isolati di script kiddies (adolescenti) con obbiettivi di diffondere virus fare denial of service e diventare famosi Oggi: attacchi di gangs organizzate nella vendita di cybercrime. Obbiettivi sono soprattutto profitti dal furto dati di identita, dal furto carta di credito per vendita e contraffazione, frodi online, denial of service ai siti per motivi politici/hacktivism SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape 5

6 Profili threat agents degli anni Anno 1994 Vladimir Levin aka ArkanoID trasferisce 10 milioni di $ da citibank nel suo conto corrente by hacking X.25 financial networks Anno 2000 Michael Calce alias MAFIABOY All eta di 15 anni, mette offline i siti di yahoo, ebay, cnn, amazon. Etrade disconnesso per 90 minuti usando file sharing software Anno1999 Jooseph aka c0mrade James installa sniffer e intercetta le passwords US Dept of Defense Anno 2000 Onel Deguzman autore del virus ILOVEYOU, diventa famoso attaccando circa 10 milioni di computers nel mondo., danno estimato 5.5 miliardi $ per disinfestare iil virus 6

7 Threat agents famosi degli anni Anno 2004 Svem Jascham autore del Sasser worm con un impatto stimato di 10 milioni di host infettati Anno 2006 Jeanson James Ancheta primo autore di botnet in affitto a spammers ed hacker, infetta e controlla in totale 1/2 milione di computers inclusi quelli della Defense Information Systems Agency (DISA) 2007 Albert Gonzales ruba circa 130 milioni di acconti di carte di credito dai negozi Hannaford e TJX Maxx e dai Bancomats nei negozi SevenEleven Usa SQL Injection per installare malware sniffers e dati fra POS e credit card processors (e.g. Hearthland Payment Systems) Rivende i numeri di carta e PINs nel mercato hacker underground (Darknet) e realizza profitti dalla contraffazione delle carte via Bancomats Anno 2010 la corte di giustizia di NY sentenzia 37 hackers colpevoli di frodi bancarie su scala globale per 3 milioni di $ usando malware Zeus 7

8 Scenari di minaccia per siti financial: hackivism 8

9 Principali incidenti per volume di perdita dati 9

10 Gli incidenti di data breach piu recenti (2011) Sony (PlayStattion Network) Furto di dati di carta di credito e password for 100,000 users Epsilon, sito con s di AMEX, VISA, Retailers, Banche, 60 milioni di s compromesse RSA, servers del sistema di authenticazione a chiavetta (SecureID token), milioni di clienti impattati hanno dovuto sostituire le chaviette HBgary Federal, vendetta del gruppo Anonymous, s di clienti CEOs pubblicati su un server in Russia Stratofor, strategic intelligence-reporting per clienti, 860K s e 75K numeri di carta di credito dei clienti 10

11 Ok, let s take a step back.. 11

12 PARTE II: Attacchi di hacking : analisi degli minaccie e degli impatti 12

13 Quali sono le cause e gli effetti degli incidenti? 13

14 Principali cause degli incidenti con perdita di dati ( Fonte Verizon, 2011) La maggioranza sono causate da hacking e diffusione di malware Source: Verizon Data Breach investigation Report: 14

15 Tipologia di dati compromessi da attacchi malware-hacking (Fonte Verizon 2011) I tipi di dati piu a rischio sono carte di credito seguiti dai dati di authenticazione Source: Verizon Data Breach investigation Report: 15

16 Cause delle perdite di dati personali e tipologia di attacco (Fonte datalossdb) Cause No1 e hacking (32%) dall esterno (53%) Source: DataLossDb.org 16

17 Gli effetti di hacking e malware: tipologia di frodi online Account takeover transferimenti di denaro online via ACH/wire Card non present fraud :pagamenti online con dati carte rubate Contraffazione carte credit/debit e frodi via eatm/abm, POS Cattura dati di carta e sensibili con Man In the Middle e Man in the Browser e installazione di data sniffers nei canali POS Carding validazione dati di carta/debito usando online form Application fraud: Usare dati compromessi online per aprire un conto corrente, applicare per una carta di credito (application fraud) Attacchi e scams cross-border Money-laundering usando money mules Phishing e vishing ai fine di catturare dati di carta (CVV, PINs, ACC) 17

18 Le tecniche malware/hacking per frodi online banking: account takeover Attacchi diretti al client (browser, PC) Sfruttano le vulnerabilita del browser (Iframes, Flash, Plugins) e del client PC (no AV/AS) privilegi administrator Social engineering e phishing attraveso vari canali ( , facebook etc) Attacchi diretti al sito online banking Sfruttamento di vulnerabilita del sito (e.g. autenticazione login, debole, SQL injection, XSS, Iframe injection, Invaldiated Redirection) Mancansa di misure server di filtering/white-listing, monitoring eventi (e.g. no WAF, no SIEM, no blocking of malicious cookies/http agents) Attacchi diretti alle transazioni di pagamento/ bonifico Sfruttano mancanza di verifica origine della transazione (e.g. call back, verificazione tranazione su canale indipendente) Sfruttano mancanza autentificazione esterna (e.g. OOBA, SMS/voice, maker/checker dual person authorization) 18

19 Esempio di attacco sul browser utente: Man In The Browser 19

20 Il ciclo delle frodi online usando malware (fonte FBI) Hacker compra il crimeware o lo prende in affitto Malware coder scrive il codice oer attaccare la banca (crimware) Banking malware cattura i dati in tastiera ed online Utente online banking PC viene infettato con il baking malware Hacker si collega all conto online con i dati del server Hacker fa un bonifico ad un conto terzo (money mule) Hacker si collega al server, accede al computer della vittima e si collega all conto online con i dati del server Bonifico viene trasferito al conto del hacker Source: of the image from (Trojan_horse) The Zeus Fraud Scheme 20

21 Zeus banking malware: tracking dei siti controllati dai fraudsters (dati in real time dal sito abuse.ch) Source: 21

22 La lista prezzi dati carte e log-ins, hacking tools e servizi cybercrime (fonte PandaLabs 2011) Source PANDA labs: 22

23 Quale attenzione dedichiamo alla possibilita di futuri incidenti? 23

24 Monetizzazione del possibile impatto di una perdita di dati per un exploit di vulnerabilita di SQL injection 1. Calcolare la probabilita dell attacco Assumi i seguenti dati statistici: - il 11 % delle perdite dei dati avviene online (dati datalossdb) - il 19 % degli attacchi sfruttano SQL injection (dati del WHID) Probabilita e 2 % di perdere dati online per un attacco di SQL injection 2. Calcolare il valore dell asset (i dati) Euro per record ( as range) - Sito con 300,000 utenti registrati online Valore dell asset = 120 milioni di euro Liabilita di attacco SQL injection = Probabilita X Valore Asset = 2.4 milioni di euro o 80 Euro/customer 24

25 Monetizzazione del possibile impatto di hacking-malware account take over? 1. Calcolare la probabilita dell attacco Assumi i seguenti dati statistici: - in UK circa 100,000 PC sono infetti da malware Zeus (Trusteer) su una numero di PC in UK di 36 milioni la probabilita e 0.2 % Probabilita e 0.2 % di frode online a causa di un attacco malware Zeus 2. Calcolare il valore della transazione wire/ach - valore massimo di transfer via ACH online : 5,000 - numero di clienti gold con depositi medi ( > 10,000 ): 50,000 Valore della transazione (cumulativo) = 250 milioni di Liabilita di account take over online = Probabilita X Valore Asset = 500,000 o 10 /customer 25

26 Monetizzazione degli impatti per frodi con uso di dati di carte compromesse o contrafatte Source: Australian Payments Clearing Association (APCA) referred in 26

27 Impatti tangibili (monetary) ed intangibili (percezione) Source: DataLossDb.org 27

28 PARTE III: Evoluzione delle delle misure di prevenzione e riduzione del rischi e criteri di investimento 28

29 Nuove technologie offrono nuove opportunita di attacco e nuove sfide per la sicurezza Technologie di ieri Technologie di oggi 29

30 Nuove technologie, nuovi rischi e percezioni Source: 30

31 Evoluzione delle misure di sicurezza vs. evoluzione delle minaccie alcuni esempi Le frodi per contraffazione care sono diminute dal ma sono autmentate dal 2006 in poi (*) 2006 FFIEC stabilische che simple log-in non e piu sufficiente per transazioni a rischio (**) 2011 FFIEC stabilische nuove linee guida per mitigare il riischio malware/account take over (*) Source (**) Source FBI 31

32 Evoluzione della security governance negli ultimi 20 anni Build Security In Maturity Model 32

33 Chi si evolve adotta application risk management (e.g. NIST, TM, FAST, OCTAVE, PASTA) 33

34 Approccio application risk management applicato alle minaccie hacking-malware Valutare le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurre frodi (transferimento non autorizzato di denaro) Identificare le vulnerabilita (debolezze dell applicazione) Errori nel design di autenticazione e session management; Vulnerabilita in garantire confidenzialita e integrity dei dati; mancanza di logs e di tracciabilita degli eventi e azioni degli hackers sui sistemi Determinate l impatto tecnico (compromissione dei controlli) By-passamento di authenticazione multi-fattore (Challenge/Questions, KBA, OTPs;) By-passamento logica di identificazione del client prima di autorizzare transazioni; Compromissione delle web forms al fine di ottenere dati dall utente. Abuso session di autenticazione. Determinare l impatto per il business (perdita denaro) Perdite per Frodi/transferimento di denaro a mules; Perdita di data sensibili; Azioni legali per copertura danni account; Multe per non essere a norma con standards di sicurezza 34

35 Quali criteri per la decisione dell investimento in application security? 1) 75% degli incidenti prende di mira applicazioni web - 2) Piu del 70% delle vulnerabilita sono a livello applicativo e non network 3) Ridurre le vulnerabilita nel codice/software del 50% porta ad un risparmio del 75% sul costo totale della rimediazione delle vulnerabilita 1,2,3 Sources: Gartner 35

36 Vantaggi economici della sicurezza built into nello sviluppo di software sicuro (SDLC) Rimediare le vulnerabilita in di design e coding produce un risparmio del 36

37 Criteri guida per investimenti in application security: la Appsec guide per CISOs Source: 37

38 Q U E S T I O N S A N S W E R S 38