ITAS Assicurazioni. Ethical Hacking. Analisi delle Vulnerabilità Della rete pubblica. Milano.

Transcript

1 ITAS Assicurazioni Ethical Hacking Analisi delle Vulnerabilità Della rete pubblica Milano Hacking Team S.r.l. Via della Moscova, MILANO (MI) - Italy info@hackingteam.it Tel Fax Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 1 di 19

2 STORIA DEL DOCUMENTO Versione Data Modifiche Effettuate gennaio 2006 Prima stesura gennaio 2006 Revisione // // // INFORMAZIONI Data di Emissione Versione 1.1 Tipologia Documento Documento di Progetto Numero di Protocollo // Numero Pagine 18 Numero Allegati 0 Redatto da Approvato da Massimo Chiodini Valeriano Bedeschi 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 2 di 19

3 INDICE 1 Architettura e descrizione del progetto Ambiente di lavoro Targets Metodologie e attività svolte External network assessment Analisi di rete Sistemi target router Cisco (wctest.gruppoitas.it) (mail.gruppoitas.it) (itasnet.gruppoitas.it) Risultati ottenuti e scenari d attacco Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 3 di 19

4 EXECUTIVE SUMMARY Questo documento descrive l attivita di vulnerability assessment svolta da Hacking Team sull infrastrutture di rete del Gruppo ITAS Assicurazioni, allo scopo di valutarne il livello di sicurezza a fronte di attacchi esterni e secondo una logica black box (gli hacker non sono in possesso di alcun dato della rete). I risultati di tale attivita sono confortanti: non sono state trovate vulnerabilita degne di nota. Il livello di sicurezza della rete, quindi, puo essere valutato come sufficiente. Tuttavia, sono state riscontate alcune piccole debolezze. Tali debolezze sono: 1. Router di perimetro, presenza servizi accessibili (es: telnet, SNMP per password guessing attack), necessita di hardening del router 2. 2 WWW server (itasnet.gruppoitas.it, wctest.gruppoitas.it), possibilita di file disclosure, necessita di hardening dei server Anche se tali debolezze sono di per se insufficienti a permettere a un hacker esterno di compromettere componenti della rete ITAS, e consigliabile provvedere alla loro sistemazione. Sarebbe inoltre opportuno dotare la rete di un IDS (Intrusion Detection System) / IPS (Intrusion Prevention System) Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 4 di 19

5 1 Architettura e descrizione del progetto ITAS Assicurazioni ha richiesto una analisi del livello di sicurezza dei propri sistemi pubblici. L analisi e stata effettuata sia sulle componenti infrastrutturali e sistemistiche (rete, dispositivi di sicurezza perimetrale, application server, database server, ecc.), sia quelle applicative eventuali trovate accessibili da Internet. Lo svolgimento del progetto consiste nella analisi a livello network/services delle componenti pubbliche (raggiungibili da Internet) del network di ITAS Assicurazioni. L obiettivo di questa fase e l individuazione di vulnerabilita di livello sistemistico sui sistemi accessibili tramite la rete pubblica, al fine di prenderne il controllo e/o causare una interruzione del servizio (Denial of Service). Questa attività viene svolta con l ausilio di tool di scanning e di attacco commerciali, di pubblico dominio o proprietari, componendosi di una fase preliminare, svolta manualmente, e di una rifinitura effettuata mediante sistemi automatici. Nei capitoli che seguono vengono riportate in maniera esaustiva tutti i dettagli riguardanti le attivita e le modalita di svolgimento del progetto, con particolare attenzione ai risultati ottenuti e alle possibili soluzioni proposte per risolvere le eventuali criticita riscontrate durante il lavoro Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 5 di 19

6 1.1 Ambiente di lavoro Le attivita di progetto descritte precedentemente sono state eseguite nei contesti di seguito descritti, con il pieno appoggio del cliente. L esame dei sistemi pubblici e stato effettuato da HackingTeam srl presso la sede di Milano utilizzando la propria connettivita pubblica (indirizzi IP [ /28] ), simulando un ipotetico attacco da parte di un hacker attraverso Internet,. Le componenti testate sono: Elementi di instradamento e sicurezza perimetrale (es. router, firewall, ecc.) sia a livello di servizi che di protocolli abilitati; I sistemi di posta e Web; Tutti gli eventuali sistemi visibili da Internet legati direttamente od indirettamente ai sopra citati sistemi Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 6 di 19

7 1.2 Targets In fase di pianificazione, sono stati individuati gli elementi infrastrutturali che compongono i sistemi pubblici. Il cliente non ha fornito alcuno schema di rete o di indirizzamento della rete pubblica, la fase identificazione e verifica delle vulnerabilità viene svolta totalmente in modalità blind. I sistemi target, analizzati sono i seguenti: in questa fase sono stati analizzati i sistemi applicativi, le componenti responsabili della connettivita verso internet ed i dispositivi di sicurezza perimetrale, piu precisamente: o Router o Firewall o Sistemi applicativi (es. server di posta, siti web, ecc.) 1.3 Metodologie e attività svolte L attività di assessment segue una metodologia ben consolidata che prevede il reperimento del maggior numero di informazioni utili per poter, in seguito, portare con successo un attacco verso i sistemi target. In generale l attacco ad un sistema sfrutta vulnerabilità intrinseche nei servizi (sia di natura logicoarchitetturale, sia di natura implementativa) per indurre comportamenti anomali in quest ultimi, le cui conseguenze possono essere le più disparate: crash dell applicazione, accesso ai sistemi su cui i servizi sono in esecuzione, ecc. Allo scopo di inquadrare il tema della sicurezza, sia in termini di opportunità offerte all intrusore, sia di minacce per le potenziali vittime, si dà una sintetica descrizione delle fasi che compongono un attacco. I concetti e la terminologia introdotti saranno utilizzati nel presente documento per descrivere i risultati dell assessment svolto. Le principali attività effettuate sul perimetro e sulla rete interna di si possono riassumere in: Network analysis: comprende tutte le attività di reverse engineering delle rete del cliente, che va dalla raccolta di informazioni di pubblico dominio come i nomi e gli indirizzi assegnati, fino all analisi dei componenti di connettività ed instradamento verso internet Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 7 di 19

8 Fingerprinting dei sistemi, attivo e passivo: il fingerprinting consiste nell individuazione dei sistemi operativi e della loro catalogazione in base alle risposte a sollecitazioni non invasive sui protocolli abilitati. Scanning: e la fase che conclude l attività non invasiva, che consente di rafforzare le ipotesi fatte durante il l attività di fingerprinting e di rilevare servizi e applicazioni attive sui sistemi. Enumeration: lo scopo è quello di enumerare le risorse dei sistemi in termini di servizi aperti al pubblico e di raccogliere informazioni quanto più dettagliate sulla tipologia e versione di quest ultimi, allo scopo di rintracciare vulnerabilità che affliggono le versioni dei software utilizzati. Attacco: e la fase più complessa e delicata dell intera attività, in cui tutte le informazioni precedentemente raccolte vengono validate e utilizzate con l obiettivo di compromettere i sistemi target. Le modalità e le tecniche che vengono utilizzate possono variare notevolmente a seconda dello scenario. Privileges Escalation: l attività consiste nel tentativo di elevare i privilegi con cui si accede ad un sistema compromesso durante la fase precedente, allo scopo di consentire l accesso al maggior numero di risorse possibile (documenti riservati, servizi, applicazioni, ecc.) Le fasi sono state effettuate utilizzando una serie di tools proprietari e/o di pubblico dominio, come ad esempio strumenti di analisi dei protocolli, port scanner, Sniffer, remote exploit, ecc. L insieme dei tools e il loro utilizzo permette, in caso di successo, di definire un processo che consente di validare un ipotetico scenario di attacco, in cui le lacune e vulnerabilita che potenzialmente affliggono i sistemi, vengono sfruttate con l intenzione di avere il maggior impatto possibille sui sistemi e sulla infrastruttura oggetto d attacco Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 8 di 19

9 2 External network assessment In questo paragrafo vengono elencati i risultati ottenuti a seguito all analisi dell infrastruttura perimetrale, dei server in esse ospitati, dei servizi risultati attivi ed accessibili da internet. 2.1 Analisi di rete La procedure di discovery delle rete target utilizza una metodologia e un insieme di tecniche basate sulla analisi delle risposte a sollecitazione non invasive utilizzando alcuni tipici protocolli internet (icmp, ip/tcp, ip/udp, snmp, ecc). L analisi dei pacchetti di risposta consente di stabilire le possibili relazioni tra gli apparati dell infrastruttura di rete, i sistemi attivi, l entita delle macchine, i protocolli abilitati a funzionare sui sistemi, ecc. Sebbene il procedimento non dia risultati certi al cento per cento, vista la complessita e le numerosissime configurazioni possibili delle moderne reti di computer, un analisi accurata consente di avere una visione piu approfondita dei sistemi da attaccare, dando la possibilita di definire una strategia di attacco il piu efficace possibile. Partendo dalle informazioni fornite del cliente riguardo l attivita si compone delle seguenti fasi: Information gathering Tracerouting e network discovery System discovery e identification Analisi dei protocolli Utilizzando i database pubblici e possibile individuare informazioni abbastanza dettagliate riguardo gli indirizzamenti pubblici della rete da attaccare, domini di posta, numeri telefonici e persone di riferiemento ecc. inetnum: netname: GRUPPO-ITAS-ASSICURAZIONI descr: via Mantova, 67 descr: country: admin-c: admin-c: tech-c: tech-c: Trento Italia IT PM4222-RIPE SF767-RIPE MLS2-RIPE LLM13-RIPE 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 9 di 19

10 tech-c: tech-c: tech-c: status: mnt-by: source: AR435-RIPE GR226-RIPE PDm11-RIPE ASSIGNED PA RITA-LIR RIPE # Filtered person: Stefano Forti [..] fax-no: maria_luce_sironi@rita.it nic-hdl: MLS2-RIPE source: RIPE # Filtered person: [..] nic-hdl: source: Paolo Di martino paolo_di_martino@rita.it PDm11-RIPE RIPE # Filtered person: [..] nic-hdl: source: Andrea Rotoli andrea_rotoli@rita.it AR435-RIPE RIPE # Filtered % Information related to ' /19AS8626' route: /19 descr: R.I.T.A. origin: AS8626 mnt-by: RITA-LIR source: RIPE # Filtered Partendo dagli indirizzi IP dei sistemi target per mezzo di tools di sistema o strumenti di analisi piu avanzati scaricabili da internet, e possibile rilevare i sistemi attivi ed i dispositivi di connettivita utilizzati per accedere ad internet: Uno scan ICMP/TCP per la ricerca delle macchine attive evidenzia i seguenti indirizzi IP: (indirizzo di rete) Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 10 di 19

11 (indirizzo di broadcast) 2.2 Sistemi target Questa sezione contiene una descrizione delle macchine analizzate basata sui dati ottenuti durante lo svolgimento delle attività di ethical hacking. Insieme alle informazioni di carattere generale (servizi aperti, OS fingerprint, etc.), vengono riportate le eventuali vulnerabilità puntuali riscontrate e il relativo livello di criticità router Cisco General Info OS fingerprint Cisco IOS 12.X 7/tcp/udp echo 9/tcp/udp discard Open services 13/tcp/udp daytime 19/tcp/udp chargen 23/tcp telnet 161/udp snmp La macchina risulta attiva e risponde alle principali sollecitazioni tramite il protocollo internet ICMP. Gli strumenti di fingerprinting permettono di ipotizzare un sistema Cisco Systems. Il servizio di gestione remota Telnet non utilizza meccanissmi di crittografia delle connessioni, consentendo il transito delle credenziali in chiaro attraverso la rete. Cio puo esporre l apparato ad attacchi tipo Man in the middle con il conseguente furto dei codici di accesso al dispositivo. Il servizio di gestione remota Telnet e Snmp possono essere attaccati con tecniche di tipo Remote Password Guessing alla ricerca di account di servizio deboli. Se possibile e se non gia utilizzati, si consiglia di attivare meccanismi di blocco dei tentativi di account 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 11 di 19

12 errati o di regolamentare l accesso mediante la configurazione di ACL (Access Control Lists). Vulnerabilities #n Level Name Description Threat Fix M1 Medium Weak Password Policy Non c e alcuna policy per il blocco dei tentativi di accesso fallito. Questa vulnerabilità puo portare alla compromissione totale della macchina. Utilizzando tecniche di password guessing e possibile recuperare le credenziali utente protette da password deboli, per accedere da remoto alle risorse del sistema Modificare la politica di gestione degli account utilizzando meccanismi di lockout dei tentavi di accesso fallito o mediante configurazione di Access Control Lists L1 Low Cisco TCP UDP small services Alcuni servizi non necessari sono configurati sul router Cisco È possibile rallentare il funzionamento del router Cisco mediante i servizi aperti di default. Eliminare i servizi aperti sul router mediante opportuna configurazione. Dalla shell di configurazione Cisco immettere le seguenti righe: no tcp-small-services no udp-small-services L1 Low ClearText Protocol Il sistema utilizza servizi di gestione remota non cifrata Questo espone il sistema a possibili furti di credenziali utente tramite tecniche di intercettazione del traffico Utilizzare servizi di amministrazione che si appoggiano a standard di cifratura forte o encryption del traffico tramite tunnel vpn 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 12 di 19

13 OS fingerprint Open TCP services Open UDP services General Info Non determinabile nessuno nessuno nessuno nessuno La macchina risulta attiva e risponde alle principali sollecitazioni tramite il protocollo internet ICMP. Le attivita di scanning e di enumeration non hanno rilevato servizi aperti e risorse utilizzabili dalla rete pubblica. La macchina risulta protetta da un dispositivo di filtraggio del traffico (firewall). Gli strumenti di fingerprinting non permettono di ipotizzare il tipo di sistema operativo con precisione Sul sistema, non sono state riscontrate criticita da segnalare OS fingerprint Open TCP services Open UDP services General Info Non determinabile nessuno nessuno nessuno nessuno La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp). Le attivita di scanning e di enumeration non hanno rilevato servizi aperti e risorse utilizzabili dalla rete pubblica. La macchina risulta protetta da un dispositivo di filtraggio del traffico (firewall). Gli strumenti di fingerprinting non permettono di ipotizzare il tipo di sistema operativo con precisione Sul sistema, non sono state riscontrate criticita da segnalare Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 13 di 19

14 (wctest.gruppoitas.it) OS fingerprint Open services General Info Microsoft Windows 2003/.NET NT/2K/XP Number Service 80/tcp OracleAS Web Cache 10g /tcp OracleAS Web Cache 10g /tcp OracleAS Web Cache 10g La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp). Il servizio Web (porta tcp 80) presenta files e componenti installate di default. L utilizzo di queste componenti puo essere utile per portare eventualmente un attacco ad altre componenti facenti parte dell infrastruttura pubblica. Di seguito vengono riportate le informazioni ottenute tramite una componente cgi presente sul sistema [ FCGI_ROLE=RESPONDER COMSPEC=C:\WINDOWS\system32\cmd.exe DOCUMENT_ROOT=d:/oracle/midtest/apache/apache/htdocs HTTP_ACCEPT=text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0. 8,image/png,*/*;q=0.5 HTTP_ACCEPT_CHARSET=ISO ,utf-8;q=0.7,*;q=0.7 HTTP_ACCEPT_LANGUAGE=en-us,en;q=0.5 HTTP_CALYPSO_CONTROL=H_Req, ,80 HTTP_CHRONOS=aggregate HTTP_CLIENTIP= HTTP_CONNECTION=Keep-Alive, Calypso-Control HTTP_COOKIE=ORA_WX_SESSION=" : "; portal=9.0.3+enus+us+america+6259fd6a2e46485aa0d48b8c6f4c b72000dc8f6d91a19149eab868782d927dc6e37cd DF28B23A9DF764CF6E012396C34C8AF F4CC555171FE185BD19EE2DA901E885200F8E523C619A 488A11073F09414E2CE854A22A0C7F554F685F6FC72 HTTP_HOST=wciasst.itasnet HTTP_KEEP_ALIVE=300 HTTP_ORACLE_CACHE_VERSION=9.0.4 HTTP_ORACLE_ECID= ,2 HTTP_REFERER= HTTP_SSL_HTTPS=off HTTP_SURROGATE_CAPABILITY=orcl="webcache/1.0 Surrogate/1.0 ESI/1.0 ESI-Inline/1.0 ESI- INV/1.0 ORAESI/9.0.4", orcl="webcache/1.0 Surrogate/1.0 ESI/1.0 ESI-Inline/1.0 ESI-INV/1.0 ORAESI/9.0.4" HTTP_USER_AGENT=Mozilla/5.0 (Windows; U; Windows NT 5.1; en-us; rv:1.7.12) Gecko/ Firefox/1.0.7 PATH=D:\oracle\midtest\bin;D:\oracle\midtest\Perl\5.6.1\bin\MSWin32- x86;d:\oracle\midtest\apache\fastcgi;d:\oracle\midtest\opmn\bin;d:\oracle\midtest\opmn\lib ;C:\WINDOWS;C:\WINDOWS\system32;D:\oracle\midtest\opmn\lib;D:\oracle\midtest\opmn\bin;D:\o racle\midtest\bin PERL5LIB=D:\oracle\midtest\perl\5.6.1\lib:D:\oracle\midtest\perl\site\5.6.1\lib REMOTE_ADDR= REMOTE_PORT=2208 SCRIPT_FILENAME=d:/oracle/midtest/apache/apache/fcgi-bin/echo.exe SCRIPT_URI= SCRIPT_URL=/fcgi-bin/echo.exe 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 14 di 19

15 SERVER_ADDR= SERVER_NAME=wciasst.itasnet SERVER_PORT=80 SERVER_SIGNATURE= Oracle-HTTP-Server/ Server at wciasst.itasnet Port 80 Vulnerabilities #n Level Name Description Threat Fix L1 Low Information disclosure È possibile ottenere informazioni relativa all indirizzamento interno, a nomi di host e path assoluti del server Il disclusure di informazioni interne al network aziendale possono rendere più efficace un tentativo di attacco Eliminare le configurazioni di default dal sistema (mail.gruppoitas.it) OS fingerprint Open services General Info Microsoft Windows 2003/.NET NT/2K/XP 80/tcp http 443/tcp https La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp). La macchina risulta protetta da un dispositivo di filtraggio del traffico (firewall). Sul sistema, non sono state riscontrate criticita da segnalare (itasnet.gruppoitas.it) OS fingerprint General Info Microsoft Windows 2000 SP4 or Windows XP SP Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 15 di 19

16 Open services Number 80/tcp 443/tcp 4443/tcp 8080/tcp Service http https https http La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp). La macchina risulta protetta da un dispositivo di filtraggio del traffico (firewall). Il servizio Web (porta tcp 4443) presenta directory virtuali listabili, files e componenti installate di default. Wednesday, July 17, :20 PM Wednesday, September 29, :21 AM Tuesday, December 18, :35 PM Wednesday, July 17, :18 PM Wednesday, July 17, :18 PM Wednesday, July 17, :18 PM Wednesday, July 17, :17 PM Wednesday, July 17, :17 PM Wednesday, July 17, :17 PM Tuesday, January 03, :38 AM <dir> clienti <dir> contratti 1672 engcgi_err.txt <dir> img <dir> infoitas <dir> Library <dir> processi <dir> risorse <dir> root sqlnet.log Le informazioni presenti in questi files possono essere utilizzate per portare eventualmente un attacco ad altre componenti facenti parte dell infrastruttura pubblica. Di seguito viene mostrato un file di log presente sul sistema. Fatal NI connect error 12545, connecting to: (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=ntol)(PORT=1521))(CONNECT_DATA=(SID=ORCL) (CID=(PROGRAM=C:\site\wi1_test\processi\ricpol\cgi-bin\pnewmra.exe) (HOST=PORTAL01)(USER=IUSR_PORTAL01)))) VERSION INFORMATION: TNS for 32-bit Windows: Version Production Windows NT TCP/IP NT Protocol Adapter for 32-bit Windows: Version Production Time: 29-SEP :29:28 [..] TNS-12545: Connect failed because target host or object does not exist ns secondary err code: [..] nt OS err code: Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 16 di 19

17 Vulnerabilities #n Level Name Description Threat Fix L1 Low Information disclosure È possibile ottenere informazioni relativa all indirizzamento interno, a nomi di host e path assoluti del server Il disclusure di informazioni interne al network aziendale possono rendere più efficace un tentativo di attacco Eliminare le configurazioni di default dal sistema OS fingerprint Open TCP services Open UDP services General Info Non determinabile nessuno nessuno nessuno nessuno La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp). Le attivita di scanning e di enumeration non hanno rilevato servizi aperti e risorse utilizzabili dalla rete pubblica. La macchina risulta protetta da un dispositivo di filtraggio del traffico (firewall). Gli strumenti di fingerprinting non permettono di ipotizzare il tipo di sistema operativo con precisione Sul sistema, non sono state riscontrate criticita da segnalare Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 17 di 19

18 OS fingerprint Open TCP services Open UDP services General Info Non determinabile nessuno nessuno nessuno nessuno La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp). Le attivita di scanning e di enumeration non hanno rilevato servizi aperti e risorse utilizzabili dalla rete pubblica. La macchina risulta protetta da un dispositivo di filtraggio del traffico (firewall). Gli strumenti di fingerprinting non permettono di ipotizzare il sistema operativo con precisione Sul sistema, non sono state riscontrate criticita da segnalare Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 18 di 19

19 2.3 Risultati ottenuti e scenari d attacco Dall analisi effettuata si conclude che i dispositivi di instradamento e di sicurezza perimetrale del cliente sono efficaci e puntuali nel consentire l accesso ai servizi volutamente resi fruibili dal Cliente. I sistemi pubblici non denotano criticita gravi, tali da rendere efficace un attacco da Internet. E d obbligo mettere in evidenza un punto: i risultati mettono in luce la presenza di diversi servizi che utilizzano una autenticazione in chiaro (es. snmp, telnet vedi [212.80, Router Cisco]): l accesso al sistema e garantito specificando uno username e una password che transitano senza nessun tipo di cifratura lungo le reti. Questo puo mettere in condizioni un ipotetico attaccante di rubare queste informazioni utilizzando tecniche di tipo man in the middle, in cui una terza parte (l attaccante), utilizzando vari stratagemmi, si interpone tra la macchina da attaccare (quella in cui gira il servizio) e uno o piu utenti, consentendogli di intercettare tutto il traffico nei due sensi e registrando tutte le informazioni che passano in chiaro. Un altro possibile attacco, piu diretto, si basa sulla possibilita di indovinare le credenziali degli utenti del servizio tramite tools automatici e dizionari di parole, alla ricerca di utenti di comune uso (ad esempio quelli preconfigurati sul sistema) e con password di default. Utilizzando un tool direttamente scaricabile da Internet e con un dizionario di utenti comuni, e possibile con un po di fortuna recuperare una lista di utenze e usarle per accedere al sistema. Il consiglio e quello di utilizzare sistemi di gestione remota che utilizzano canali cifrati e se possibile inibire l accesso al servizio utilizzando meccanismi di blocco degli account dopo un numero prestabilito di tentativi di falliti Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 19 di 19