Security by example. Alessandro `jekil` Tanasi LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

Transcript

1 Security by example Alessandro `jekil` Tanasi

2 Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment Ricercatore nel campo IT security

3 Esempio Vogliamo creare una società che offra un servizio web tramite il proprio sito internet

4 Realizzazione.. Aspetti burocratici, fiscali e amministrativi Sistemi e infrastrutture Network e connettività Servizi e hardware Ciclo di vita del software Analisi Progetto Implementazione Collaudo Manutenzione

5 Sicurezza

6 Minacce Virus Malware Furto di informazioni Cracker occasionale (script kiddie) Cracker professionista

7 Sicurezza.. La sicurezza è un processo non un prodotto Il livello di sicurezza è dato dalla sicurezza dell'elemento più debole Ogni livello deve esser messo in sicurezza

8 Sicurezza fisica

9 Sicurezza Fisica Perchè ricorrere a una complicata violazione informatica quando quello che ci serve è appoggiato su una scrivania? Password su post-it Documenti cestinati Documenti visibili Eccessi di fiducia Terminali accesi senza utenti

10 Prevenzione Controllo dell'accesso ai locali, policy (regole) di accesso Trattare nel modo dovuto i documenti (ad es. in cartelline) Non lasciare informazioni nei rifiuti Attenzione a come vengono portati dati fuori dall'ufficio Porre attenzione ai piccoli dettagli dei computer (segni di scasso) Prevenzione di incendi, allagamenti ecc...e molto altro..

11 Sicurezza dell'infrastruttura

12 Sicurezza dell'infrastruttura Sistemi vengono installati e abbandonati Utilizzo di configurazioni di default Ambienti di test diventano sistemi di produzione Adozione di tecnologie obsolete o insicure Parti dell'infrastruttura raggiungibile e esposta Mancanza di filtraggio dei flussi di rete

13 Prevenzione Hardening dei sistemi operativi e dispositivi di rete Definizione di policy per l'uso e gli accessi Applicazione di access lists e AAA Aggiornamenti costanti Utilizzo di sistemi di intrusion detection Vulnerability assessment periodici Defense in depth

14

15 Sicurezza dei sistemi

16 Sicurezza dei sistemi Vulnerabilità server side Vulnerabilità client side Configurazioni errate...ecc... ecc... Ma quanti sono in grado di accorgersi che il proprio sistema è stato compromesso?

17 Prevenzione Patch plan Limitare l'esposizione dei servizi Sistemi di sicurezza proattiva HIDS Sensibilizzazione degli utenti e adozione di policy Spesso non è un problema tecnologico ma umano

18 Sicurezza applicativa

19 Sicurezza applicativa Analisi e progettazione fatta male e in fretta Non utilizzo di best practices nello sviluppo Errori di programmazione(bug) Diffusione di virus e worm Accesso non autorizzato a sistemi Furto di dati Abuso di sistemi e risorse

20 Applicazioni sicure Utilizzo di tecnologie adeguate e loro corretto impiego Utilizzo di crittografia e autenticazione forte se necessario Introduzione di un processo di testing e auditing nello sviluppo Introduzione di metriche di collaudo per l'acquisizione di nuove applicazioni

21 Monitoraggio e manutenzione

22 Monitoraggio e manutenzione Senza monitoraggio non si ha conoscenza di ciò che accade Monitoraggio a tutti i livelli (rete, sistemi e applicazioni) Monitoraggio di: Traffico Accessi Sorgenti dati Uso delle applicazioni Manutenzione e aggiornamenti periodici dell'infrastuttura e delle applicazioni

23

24 Lo stato dell'arte della security Richiede che la sicurezza sia introdotta fin dalla progettazione, pena un totale ridisegno E' una proprietà di vari livelli architetturali E' dispendiosa in termini di risorse, procedure, gestione e mentalità Rimane un problema da affrontare per ogni tipo di azienda Quindi la sicurezza non è un predicato booleano

25 Conclusione La sicurezza va afforntata a tutti i livelli Infrastrutturali Nel ciclo di vita di un software Il suo stato deve essere monitorato e mantenuto all'interno di un processo aziendale La sicurezza è composta da: Prodotti e tecnologie Procedure e processi Fattore umano (esperienza!)

26 Domande