roma 17/18 giugno 2015

Transcript

1 roma 17/18 giugno 2015 Processo penale, prova informatica e strategie difensive Le buone pratiche nella cybersecurity: fattore umano ed awareness Key impact indicator e Key risk indicator per la cyber risk evaluation Come prevenire e contrastare le frodi su internet e mobile Banking igloss@ 1.0 i comportamenti devianti on line

2 COLOPHON ANNO XIV - NUMERO MAGGIO 2015 Rivista fondata da Roberto Scaramuzza DIRETTORE RESPONSABILE Edoardo Scaramuzza RELAZIONI ESTERNE Eliana D Aquanno IMPAGINAZIONE Francesco Tripputi GRAFICA Romina Rakaj CONTENUTI La contromisura benefica: non fidarsi è meglio Fabrizio Baiardi, Federico Tonelli... 2 Processo penale, prova informatica e strategie difensive Paolo Galdieri... 6 Uno strumento di supporto alle decisioni per migliorare la gestione del Rischio nelle Infrastrutture Critiche Roberto Setola, Vittorio Rosato COMITATO CONSULTIVO Matteo Cavallini Responsabile Standard Sicurezza e Sistemi Informativi Consip Cosimo Comella Dirigente Informatico dell'ufficio del Garante Protezione Dati Personali Isabella Corradini Presidente Centro Ricerche Themis Crime Fabrizio d'amore Centro di Ricerca di Cyber Intelligence and Information Security (CIS) Università La Sapienza Luisa Franchina Direttore Generale Segreteria Infrastrutture Critiche Presidenza del Consiglio dei Ministri Andrea Lisi Avvocato in Lecce specializzato in Diritto dell'informatica Pieraugusto Pozzi Docente Università di Perugia - Direttore Forum per la Tecnologia dell'informazione Domenico Vulpiani Direttore dell'ufficio centrale ispettivo del dipartimento di pubblica sicurezza Ministero dell Interno Le buone pratiche nella cybersecurity: fattore umano ed awareness Isabella Corradini Nella risposta agli attacchi mirati il tempo è vitale Ferdinando Torazzi Key Impact Indicator e Key risk Indicator per la cyber risk evaluation Luisa Franchina, Michele Kidane Mariam, Federico Ruzzi Come prevenire e contrastare le frodi su Internet e Mobile Banking Monica Pellegrino igloss@ 1.0 i comportamenti devianti on line Avv. Monica Gobbato Come perdere mezzo milione di euro attraverso la mail e accorgersene quando è troppo tardi Dr. Paolo Dal Checco Innovare in sicurezza per proteggere le infrastrutture critiche Gianluca Cimino Coniugare Cyber Intelligence e ICT Risk Management, la grande sfida dei prossimi anni Andrea Zapparoli Manzoni Finito di stampare nel mese di Maggio 2015 presso Pixartprinting SpA - Via 1 Maggio, Quarto d'altino VE ROC - Registro Operatori delle Telecomunicazioni n Pubblicazione mensile registrata presso il Tribunale di Roma n. 113/98 - Tecna Editrice Roma Poste Italiane S.p.A. - Spedizione in Abbonamento Postale - D.L. 353/2003 (Conv. in L. 27/02/2004 n 46) Art. 1, Comma 1 - DCB Roma PREZZO DI COPERTINA Euro 6,00 COSTO ARRETRATI Euro 10,00 COSTO ABBONAMENTO PER 9 NUMERI Euro 48,00 da pagare su C/C postale n intestato a Tecna Editrice srl - Viale Adriatico, Roma L Editore si dichiara pienamente disponibile a regolare eventuali pendenze relative a testi e illustrazioni con gli aventi diritto che non sia stato possibile contattare. Evoluzione della sicurezza informatica Antonio Iannuzzi Nuova partnership tra Check Point e Fire Eye per la Threat Intelligence REDAZIONE Viale Adriatico, Roma Tel Fax redazione@tecnaeditrice.com TUTELA DATI PERSONALI PRIVACY Si informa ai sensi del D.L. 196/03 che i Suoi dati sono inseriti nella nostra banca dati con lo scopo di poterla informare delle nostre pubblicazioni e dei nostri convegni inerenti la Sua attività. Qualora non desiderasse ricevere più le nostre informative la preghiamo di comunicarlo via fax al numero

3 La contromisura benefica: non fidarsi è meglio 1 Quando si parla di sicurezza informatica e di modifiche ad un sistema per aumentarne la sicurezza, uno dei termini più diffusi è Return-of-Investment. Il concetto è che il costo di ogni modifica deve essere giustificato dalla corrispondente diminuzione del rischio. Purtroppo però il beneficio di ogni modifica non è garantita e deve essere esplicitamente verificata. Per provare questa nostra affermazione, descriviamo alcuni risultati ottenuti applicando la suite Haruspex, descritta in un articolo precedente 2. Uno degli obiettivi di Haruspex è valutare oggettivamente e in modo ripetibile il rischio posto da un sistema ICT. La valutazione è basata sulla simulazione delle catene di attacchi che agenti intelligenti, cioè persone o malware, costruiscono contro il sistema per controllarne alcune risorse. Ogni attacco di una catena aumenta i privilegi dell'agente e abilita altri attacchi fino a raccogliere tutti i privilegi d interesse. Per applicare il metodo Monte Carlo, gli attacchi vengono ripetuti più volte per ottenere campioni statistici per valutare il rischio del sistema con 2 Maggio 2015 ICT Security

4 SPECIALE CYBER CRIME un livello di confidenza elevato. Lo strumento della suite alla base del nostro ragionamento è il Manager, che seleziona le contromisure da applicare che modificano il sistema per ridurre la probabilità di successo di uno o più attacchi. Selezionate le contromisure da applicare e generata così una nuova versione del sistema, il Manager esegue un nuovo esperimento per valutare il rischio posto da tale versione. Questo passo è possibile grazie all approccio model-based di Haruspex, ed è anche necessario perché agenti intelligenti possono sostituire le catene di attacchi influenzate dalle contromisure con altre che invece le contromisure non considerano. Se qualche agente riesce ancora a raggiungere i suoi obiettivi con una probabilità elevata, il Manager esegue una nuova iterazione, seleziona altre contromisure ed esegue un altro esperimento di controllo. Se, invece, la probabilità di successo degli agenti scende sotto una soglia prefissata le iterazioni terminano. L'assunzione di base sottesa la progetto del Manager era che la probabilità di successo di un agente diminuisse in modo monotono nelle varie iterazioni. Visto che ogni modifica riduce la probabilità di successo di un attacco, pareva ragionevole assumere che la probabilità di successo di un agente, e quindi il rischio, diminuisse all'aumentare del numero di iterazioni e quindi delle contromisure applicate. Ciò non implica che il costo delle contromisure compensi la diminuzione del rischio ma, almeno, che la probabilità di successo dell'agente, e quindi il rischio, diminuisca in modo continuo. Abbiamo purtroppo verificato che non solo la riduzione del rischio può essere maggiore del costo delle contromisure ma anche che alcune contromisure pur riducendo la probabilità di successo del singolo attacco peggiorano la sicurezza complessiva del sistema. Un possibile esempio è Labyrinth, un sistema non esistente, ma realistico, perché le vulnerabilità nei suoi nodi sono dedotte da vulnerability scanning di sistemi esistenti. Abbiamo costruito Labyrinth per valutare l accuratezza della suite perché ci permette di creare un numero elevato di catene di attacco molto lunghe che permettono all'attaccante di raggiungere il proprio obiettivo. La topologia di Labyrinth utilizzata è quella in Fig.1, FABRIZIO BAIARDI FEDERICO TONELLI Dipartimento di Informatica, Università di Pisa, Italia [baiardi,tonelli]@di.unipi.it Maggio 2015 ICT Security 3

5 Fig.1: La topologia del sistema Labyrinth dove ogni nodo del grafo rappresenta una sottorete con il numero di sistemi indicato. Nel caso d interesse, un attaccante controlla inizialmente il nodo nella sottorete A e attacca altri nodi fino ad acquisire i privilegi per controllare il nodo nella sottorete X. Selezionando contromisure durante le varie iterazioni, il Manager genera versioni diverse di Labyrinth, ognuna delle quali è caratterizzata da un certo rischio, visualizzato mediante le curve in Fig.2, dette curve di stress. Una curva di stress la valutazione del rischio in un assessment Haruspex perchè associa al tempo t la probabilità che l agente raggiunga il proprio obiettivo entro t. Ad esempio, la curva blu in Fig. 2 associa al tempo il valore 0.2, perché gli esperimenti Haruspex indicano che nella versione corrispondente la probabilità che l'attaccante raggiunga il suo obiettivo dopo 19 ore e 10 minuti è 0.2. Intuitivamente, più bassa è la curva, meglio il sistema resiste agli attacchi, perché diminuisce la probabilità che l'attaccante raggiunga il suo obiettivo a parità di tempo disponibile. Le tre curve in Fig.2 sono quelle delle versioni di Labyrinth prodotte dal Manager durante le sue iterazioni. Se ogni iterazione diminuisse il rischio aumentando il numero di contromisure che riducono la probabilità di successo di alcuni attacchi, la curva di stress della versione considerata ad una iterazione sarebbe sempre più bassa della curva della versione considerata nell iterazione precedente. La Fig.2 mostra però che l'attaccante raggiunge lo stesso obiettivo più velocemente nella versione della terza Fig.2: Curve di stress 4 Maggio 2015 ICT Security

6 iterazione che in quella della seconda, ovvero il sistema, con le contromisure scelte alla seconda ed alla terza iterazione, è meno robusto di quello con solo le contromisure della seconda iterazione. In breve, l'investimento in contromisure ha facilitato l'attaccante. A cosa è dovuto questo paradosso della contromisura benefica? Nel caso di Labyrinth è dovuto a una caratteristica dell'attaccante che abbiamo fino ad ora trascurato: l attaccante preferisce i percorsi più brevi. Quindi, tra due percorsi diversi per lo stesso obiettivo, sceglie sempre quello con meno attacchi. Questa preferenza può essere dovuta a ragioni di competenze dell'attaccante, e.g. non sa realizzare alcuni attacchi, o ad informazioni parziali. Ad esempio, l attaccante potrebbe non avere informazioni affidabili sulla complessità degli attacchi e quindi sulla loro probabilità di successo. Purtroppo per l'attaccante non sempre i percorsi brevi sono più facili. In particolare, in Labyrinth esistono percorsi brevi ma che richiedono molto tempo perché i loro attacchi hanno una probabilità di successo molto bassa e quindi devono essere ripetuti più volte prima di avere successo. Se alcune contromisure bloccano questi percorsi, il nostro attaccante sceglie percorsi più lunghi che, per sua fortuna, sono però più facili. Quindi, nelle prime iterazioni, il Manager blocca i percorsi più brevi di Labyrinth che l'attaccante sceglie con probabilità elevata per le sue preferenze. E sono proprio le preferenze dell'attaccante, la sua strategia di scelta e le informazioni di cui dispone la chiave del paradosso della contromisura benefica. Non sempre le preferenze e le informazioni dell attaccante gli fanno scegliere il percorso migliore. Questo ha ripercussioni importanti su come intervenire sul sistema e quali contromisure applicare. Ad esempio nel caso di Labyrinth, alla quarta iterazione del Manager la curva di stress si appiattisce sull'asse delle x, poiché l'attaccante non riesce mai a raggiungere il proprio obiettivo. Questo segnala come vi sia una soglia per l'investimento in sicurezza, il costo delle contromisure suggerite dalla quarta iterazione. Se le risorse a disposizione permette di adottare queste contromisure, è possibile fermare l'attaccante e azzerare il rischio. Ovviamente, la convenienza di farlo dipende dalle contromisure e dal rischio. E chiaro però che non vi può essere convenienza nella soluzione proposta alla terza iterazione che aumenta il rischio rispetto alla seconda. Sorge ovviamente il dubbio che tutto sia dovuto al Manager e alla metodologia di Haruspex ma non è cosi. Il paradosso della contromisura benefica è solo un caso particolare del paradosso di Braess 3 sulle reti di trasporto: se ogni viaggiatore considera solo le sue preferenze e non proprietà globali della rete dei trasporti, l'apertura di una nuova via di comunicazione può aumentare il tempo medio dei vari percorsi. Questo paradosso è stato verificato nella pratica in numerosi casi riportati in letteratura. Un esempio relativamente famoso è quello dell'apertura di un nuovo ponte sul Tamigi a Londra. Nel caso della sicurezza informatica, le contromisure chiudono alcune vie di attacco, il nuovo ponte sul Tamigi, e questo può evitare errori all'attaccante e ridurre il tempo medio per realizzare una catena di attacchi. Quindi, verificare se il sistema è effettivamente più robusto dopo aver apportato delle modifiche, permette non solo di evitare investimenti dannosi ma anche di evitare delusioni. In particolare, tutte le strategie di sicurezza basate su penetration test dovrebbero verificare se e come le strategie usate nel test influenzano i risultati del test e se le contromisure proposte sono benefiche. NOTE 1. Haruspex è un progetto supportato da Università di Pisa, Promostudi La Spezia e da SUR Grant IBM per una descrizione completa si veda: 2. Si veda il numero di ICT Security di Marzo Transportation Science, Vol.39, N. 4, Sett Maggio 2015 ICT Security 5