LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A.
I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line. Il ruolo, le tecniche e i vantaggi del vulnerability assessment. Defacement Scanner ed iplegion: due strumenti innovativi per proteggersi dall hacking.
E*MAZE in breve E*MAZE nasce nel Novembre 2000 da precedenti esperienze nel mondo IT / Security Tra i soci è presente MB Venture Capital Fund di Alice Ventures Organico di 22 persone con alta specializzazione di security E la prima azienda in Italia a sviluppare soluzioni di security scanning Associazioni con enti di rilevanza mondiale (CERT)
Finanziatori Alice Ventures fa parte del Venture Capital Project di Mediobanca,, SDA Bocconi e del Politecnico di Milano. Il fondo è sponsorizzato dalle principali aziende italiane
Lo scenario della Security Scarsa capacità di rilevare le intrusioni informatiche 38% delle grandi aziende sono a rischio (fonte:: Men&Mice, 2001) Forte crescita (57%) degli attacchi da Internet (fonte:: CSI, 1999) Un qualsiasi computer riceve 10 attacchi/probes al giorno (fonte: Schneier,, 2000)
GLI ATTACCANTI: Corrono pochi rischi Difficilmente rintracciabili Di origine internazionale GLI STRUMENTI D ATTACCO: Sofisticati ma semplici da usare Automatizzati Progettati per attacchi su larga scala CONTROMISURE: Difficili da implementare a posteriori Mancano standard legislativi uniformi
Distribuzione geografica delle attack sources Top Attacker: 211.252.20.66 Most Attacked Port: 80
Evoluzione delle tecniche d attacco Elevata complessità Self Replicating Code Password Cracking Back Doors Exploiting Known Vulnerabilities Stealth Diagnostics Sweepers Hijacking Sessions Disabling Audits Packet Forging/ Spoofing Sniffers Complessità delle tecniche d attacco Skill necessari Bassa complessità Password Guessing 1980 1985 1990 1995 2001
Vulnerabilità delle piattaforme di commercio elettronico e sistemi di pagamento on-line Input validation Access control error Configuration error (default) Resource error
I TARGET WebDiscount.net eshop Commerce DCShop Shopping Cart (beta version) CardService International LinkPoint Gateway PDG Shopping Cart Akopia Interchange e-commerce system IBM WebSphere Commerce Suite Siti individuabili con semplici search engines o specifici hacker tools (no security through obscurity)
ESEMPIO DI HACKER TOOL PER LA RICERCA DI SITI CON PIATTAFORME E-COMMERCE VULNERABILI $search_engine_url = "http://www.altavista.com"; $link = "status='([^']*)"; $next = "a href=\"([^\"]+).*\\[next"; search_engine_scan("$search_engine_url/sites/search /web?q=dcshop&pg=q&kl=xx"); if ($google) { print STDERR "\nscanning using google"; $search_engine_url = "http://www.google.com"; $link = "<p><a HREF=([^>]*)"; $next = "A HREF=([^>]+).*<b>Next<\\/b>"; search_engine_scan("$search_engine_url/search?q=d CShop"); A volte basta una semplice modifica dell URL http://[targethost]/cgi-bin/dcshop/orders/orders.txt
RISULTATO: Esecuzione di comandi da remoto sul web server Nomi e indirizzi dei clienti e numeri delle carte di credito in plaintext per gli ordini più recenti Dati di autenticazione (ID e password) del cliente e del merchant Accesso alla back-end administration area (gestione ordini e prodotti) Denial of Service Attacks Esecuzione di arbitrary code sul sistema locale
I MOTIVI DI TANTA VULNERABILITA Sviluppo di soluzioni commerciali centrate sulla massimizzazione del numero di optional e funzioni Crescente complessità Integrazione di applicativi a volte solo parzialmente compativi Insufficiente beta-testing Scarsa attenzione al problema della sicurezza in fase di progettazione
E queste sono soltanto le vulnerabilità strettamente legate alle piattaforme di commercio elettronico e pagamento on-line Aggiungete quelle di: Router, switch, firewall, web server, mail server, Data Base, sistemi operativi, software, applicativi proprietari e di tutte le altre apparecchiature comunque connesse alla rete
Attacchi ai web server. Preludio a NIMDA Fonte: Security Focus, 2001
I rischi di un errata configurazione Il caso Microsoft Corp. DNS Single Point of Failure
PROBLEMI DI CONFIGURAZIONE DEI WEB SERVER PATCHING Il mancato o inadeguato patching delle macchine è stato responsabile del 99% dei 5.823 web site defacements del 2000 (+56% rispetto ai 3.746 del 1999) in base ai dati di Attrition.org
Perche web server? Stats traffico in % porta 80 : il male necessario Unita di successo : imprese Problema : defacement Attrition : 3*(1995+1996)= 1 gennaio 01 Script Kiddies : unita di successo = defacement
Come trovare debolezze Operazioni legittime mirror sito trovare directory, file e valori nascosti analisi CGI CGI abuse Non esitono tools per fare auditing automatico di CGI proprietari
Nuove vulnerabilità vengono scoperte ogni settimana Fonte: BUGTRAQ
LA DIFESA È possibile prevenire questi attacchi Tramite appositi software di VULNERABILITY ASSESSMENT
FUNZIONE Individuare vulnerabilità, errori di configurazione e backdoors Simulare una sequenza di attacchi Prevenire danni economici Prevenire danni d immagine IN MODO SISTEMATICO E CONTINUATIVO BUSINESS ENABLER
UPDATE IL CICLO DELLA SICUREZZA DI E*MAZE Continuo aggiornamento del database delle vulnerabilità PROBE Analisi approfondita del sistema REPORT/FIX Report dettagliato e suggerimento delle soluzioni adottabili SCHEDULE Monitoraggio costante attraverso una programmazion e degli interventi
La tecnologia: iplegion Controllo: continuo monitoring della sicurezza Test: esamina la rete dall esterno e/o interno simulando degli attacchi informatici Analisi: trova vulnerabilità, misconfigurazioni e backdoors Risultato: Produce reports dei risultati trovati e fornisce indicazioni su fix
Architettura iplegion Scan su reti Client s Public Internet KBS DB interf. Scout Scout Public Internet singolo IP www Ogni modulo e ridondato Possibilita di distribuire il sistema su Scout remoti Scout Scan remoti
Caratteristiche Indipendente dalla piattaforma HW/SW del cliente Interfaccia web Gli aggiornamenti del sistema sono immediatamente fruibili Scalabile in funzione delle esigenze del cliente
Report Istogrammi sull incidenza per tipologia di rischio rilevato Tabelle sul numero delle vulnerabilita trovate, classificate per entita di rischio
Descrizione dettagliata del servizio Porte trovate aperte Link alla descrizione del servizio
L offerta E*MAZE iplegion (scansione perimetrale) intralegion (scansione Intranet) Penetration Testing (Ethical Hacking)
SICUREZZA A 360 Anche il massimo livello di sicurezza di un sito non è sufficiente se i propri partner non adottano delle soluzioni di sicurezza adeguate. Il livello di sicurezza effettivo è quello dell anello più debole della catena. Spesso le aziende sono vittima di attacchi proprio quando si illudono di avere un sistema di sicurezza perfettamente efficiente.
VANTAGGI Consentono di: individuare le vulnerabilità PRIMA che vengano utilizzate da terzi per fini illeciti; mantenere un aggiornamento della sicurezza allo stato dell arte; quantificare le aree a maggior rischio di impatto finanziario o d immagine disporre di misure correttive da implementare secondo una lista di priorità, allineate agli obiettivi di business
Contatti LUCA EMILI E-mail: luca@emaze.it RODOLFO ROSINI E-mail: rodolfo@emaze.it GIORGIO VERDE E-mail: giorgio@emaze.it http://www.emaze.it E*MAZE Networks s SpA