IP Intelligence IP Fingerprinting per l antifrode Emanuele Bracci
Techub: presenza sul territorio Siti principali: Roma Milano Parma Presidi: L Aquila Mestre Più di 80 specialisti sul territorio nazionale
Techub: Servizi per la la sicurezza informatica Discovery: Analisi delle vulnerabilità, tecniche ed organizzative del cliente (Vulnerability Assessment / Penetration Testing / Social Engineering / Ethical Hacking) Execution: Implementazione di soluzioni tecniche ed organizzative a breve e lungo termine (Application security / Perimeter Defense/ DLP / End Point Protection / Network Hardening) Compliance: Supporto legale, tecnico e organizzativo per l adozione di standard e il rispetto di norme e regolamenti ( Privacy / ISO 27001 / Basilea 2 ) Governance: Gestione del rischio legato ai processi chiave ed alle applicazioni strategiche. Scelta di policy e strumenti per il Risk Management (Early Warning Intelligence / Incident Response) Continuity: Sviluppo di policy per la sicurezza e la continuità. Monitoraggio dei piani di gestione del rischio (Business Continuity Plan / Disaster recovery / Workplace Recovery) Products: Sviluppo e commercializzazione di soluzioni innovative per il fraud management
La IP Intelligence
Il modello completo per la sicurezza:layered Identity & Access Management Access Auditing Secure Access Risk-Based Authorization Multi-Factor Authentication End-Point Assessment Connection Assessment?
IP Fingerprinting Access Auditing Secure Access Risk-Based Authorization Multi-Factor Authentication End-Point Assessment Connection Assessment?
Perchè analizzare le connessioni? Connessioni violate Es. Attacco tipo Man-in-the-Middle (MITM) Dove l aggressore è in contatto simultaneo con il cliente e la banca Intercettando le credenziali di autenticazione e utilizzandole in tempo reale Devices violati, credenziali di accesso sottratte Es. Trojans / Malware / Spyware Quando il software di aggressione intercetta e modifica i dati sul computer dell utente Quando l aggressore è in possesso di credenziali e token sottratti Qualsiasi cosa venga richiesta all utente in fase di autenticazione Può essere registrata da malicious software presenti sul device dell utente o rediretta in transito ad un server
Quali dati si utilizzano Ambiente banca Rete mondiale di Raccolta indirizzi IP Database di ricerca Algoritmi automatici Rete di analisti geografici
Un esempio di informazioni deducibili BANCA Rete Pubblica 71.116.92.195 Satellite Utente Get_IPInfo: 71.116.92.195 Location = Milano, Lombardia ITA Connessione = DSL Indirizzo IP 71.116.92.195 Internet POP 71.116.92.195 WAP Mobile Gateway Indirizzo IP 71.116.92.195 Corp. Gateway 71.116.92.195 Utente domestico DSL 71.116.92.195 Dial-up Utente 71.116.92.195 Utente aziendale VPN Utente WiFi Utente mobile WiFi
Le informazioni utili per la IP Intelligence Informazioni Geografiche Caratteristiche di Rete Continente: Paese: Regione: Fuso orario: Stato / Provincia: DMA: MSA / PMSA: Città: Lat. / Lon.: Codice di Area: Codice Postale: nord america usa (99) Sud-ovest -8.0 ca (94) 807 / 7360 san francisco (90) 37.7753 / - 122.4186 415 94101 ASN: 19262 Carrier: verizon internet services inc. Top Level Domain: net 2 nd Level Domain: verizon AOL Flag: 0 Metodo di Routing: fisso Tipo di Connessione: dsl Velocità di Connessione: media
informazioni irrinunciabili: i proxy anonymizer IP Intelligence IP Geolocation Continente Paese + CF Regione Stato/Provincia + CF DMA / MSA Città + CF Codice Postale Prefisso telefonico Fuso orario Latitudine/Longitudine Stato Caratteristiche di rete ASN Carrier Dominio (second.top) AOL Flag Tipo Routing Tipo Connessione Velocità Connessione Anonymizer
Fingerprint
IP Digital fingerprint
Fingerprint Ogni individuo ha impronte digitali caratteristiche Ognuna di esse lo definisce in maniera univoca
IP Digital fingerprint Ogni individuo ha diverse impronte digitali IP (una per tipo di connessione) L insieme di queste lo può caratterizzare in maniera restrittiva
IP Digital fingerprint: Utilizzo pratico Anche se le credenziali elettroniche vengono sottratte e si utilizzano in modo fraudolento token, il profilo della connessione non si simula!
La strategia giusta? Adottare un modello di sicurezza stratificato (Layered security) Preferire strumenti di eccellenza e trasparenti a strumenti monolitici e chiusi. Questo approccio consente di intervenire con miglioramenti sui singoli strati al presentarsi di nuove minacce e metodi di aggressione E più facile ricondurre uno stack di sicurezza modulare alla propria policy, piuttosto che adeguare monoliti verticali Utilizzare uno strato di sicurezza di connessione sofisticato che: Consente di effettuare un efficace filtro preliminare Protegge il cliente anche in caso di credenziali e token sottratti Permette la piena funzionalità attraverso l autenticazione dinamica Conferire alle blacklist un giusto valore: Un cybercriminale raramente utilizza più volte lo stesso device/indirizzo/connessione per eseguire attacchi E più efficace valutare quanto la connessione in esame si discosta dal profilo del cliente piuttosto che riferirsi a blacklist che diventano rapidamente molto ampie ed obsolete
Grazie per l attenzione