Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare? Alessio L.R. Pennasilico - apennasilico@clusit.it Security Question Time Treviso, Gennaio 2015
$whois -=mayhem=- Security Evangelist @! Committed: AIP Associazione Informatici Professionisti, CLUSIT AIPSI Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, AIP/OPSI Hacker s Profiling Project, CrISTAL 2
L importanza delle informazioni 3
Io sono preoccupato 4
Quanta attenzione... 5
Economia digitale 6
Io sono preoccupato 7
SMART? 8
I prossimi corsi La sicurezza IT in ambito SCADA La sicurezza dei device mobili La verifica del livello di sicurezza aziendale Cloud Security Business Continuity e Disaster Recovery 9
Le vostre domande
Chi c'è dietro a questi attacchi e quali obiettivi nasconde? 11
Rapporto Clusit 2014
Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell anno precedente e cosa ci si aspetta dall anno in corso 13
Io sono preoccupato 14
Cosa emerge? Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci 15
Tutti vengono colpiti 16
Botnet Una volta infettati i PC per fare SPAM, Phishing, DDoS posso rubare altri dati/identità posso utilizzarli per produrre altro denaro 17
Trend? Aumentano i tentativi di intrusione Aumentano i tentativi andati a buon fine Per ogni intrusione perdiamo sempre più denaro 18
Perché preoccuparsi? Nel 2013 gli attacchi noti che hanno prodotto un danno ingente a chi li ha subiti in termini economici o di immagine sono aumentati del 245% Campione 1152 attacchi di cui 35 Italiani 19
20
Attacco = denaro Nel 2013 in 2.164 diversi incidenti sono stati sottratti 882 milioni di record personali con una media di oltre 400.000 record per incidente Fonte: DatalossDB 21
Quanto denaro? La spesa globale nel 2013 per prodotti e servizi di Cyber Security è stata stimata da Gartner prossima a 70 miliardi di dollari (+16% rispetto al 2012) Il totale di perdite dirette ed indirette causate dal solo Cyber Crime, secondo il Ponemon Institute, nel 2013 sfiora i 500 miliardi di dollari (+ 26% rispetto al 2012) 22
Aumento dei Black Swan 23
Chi vuole le informazioni? La criminalità organizzata mondiale ha capito da tempo che con quelli dei computer è possibile gestire truffe estremamente redditizie 24
Io sono preoccupato 25
Visto i recenti accadimenti i network Sony e Xbox e la diffusione di "tool" (Cit. LIZARD) per dedicarsi a varie attività di blocco disturbo, quanto è reale il rischio che qualcuno si rivolga ad hacker malevoli "dilettanti" per recare danno ad un azienda? E quanto il rischio che qualcuno scelga addirittura la strada del "fai-da-te" con gli "strumenti" di cui sopra? 26
DDoS 2007 Pay Russian Business Network DDOS Cost: $300 for 24 hours Month long prices available, no need to plan ahead. Also available for $50 per hour http://www.washingtonpost.com/wp-dyn/content/article/2007/10/12/ar2007101202461.html?nav=rss_technology http://www.birmingham-infragard.org/meetings/talks/presentations/ddos.in.practice.pdf 27
DDoS 2012 28
29
Io sono preoccupato 30
Full Disclosure? 31
Come si fa a sapere se la propria azienda è protetta adeguatamente? È possibile avere alcune indicazioni da seguire per avviare un buon piano di sicurezza informatica aziendale? 32
Business Lifecycle Support Emergency Response Check & Audit Operate & Maintain Document & Train Choose & Implement Define Processes Define Security Policy 33
GRCI Model Governance Incident Management Risk Management Compliance 34
Standard & Norme Standard ISO 9000, 14000, 15000, 18000, 17020, 20000, 22301, 26000, 27000, 28000, 31000 Standard di mercato ITIL, COBIT, Prince, OSSTMM, OWASP, CC, CEM, CMMI, CSA STAR Normative specifiche per alcuni mercati PCI-DSS, SOX, Basilea, Solvency, FISMM, 263 Leggi D.lgs 196/2003, D.lgs 231/2001, D.lgs 262/2005, D.lgs 81/2008, Legge 48/2008, Legge 155/2005, D.lgs. 30/2005 35
OSSTMM 36
http://c4s.clusit.it/ http://rosi.clusit.it/ http://100giorni.clusit.it/ Corsi UNIS&F :) 37
Quale può essere il giusto compromesso nell'andare a stilare delle policy aziendali relativamente alla sicurezza? Modello molto rigido vs. modello basato sulla fiducia. 38
Quali sono ad oggi le più diffuse o principali tecniche di attacco informatico alle aziende? Ad oggi le tecniche di ingegneria sociale vengono ancora praticate dall'attaccante professionista? 39
Ransomware Ti cripto tutti i dati e chiedo il riscatto per dati la chiave per poterli consultare di nuovo 40
17 Novembre 2013 http://thehackernews.com/2013/11/cryptolocker-ransomware-spam-emails-campaign-ten-million-users.html 22 Novembre http://thehackernews.com/2013/11/us-police-department-pays-750-ransom-to.html 12.000 infetti x $ 750 = $ 9.000.000 5% di 10.000.000 x $ 750 = $ 375.000.000 41
OWASP 10 Ten 42
APT? 43
Client Side Flash Java PDF Browser... 44
Io sono preoccupato 45
Pro e contro di tenere i dati sul Cloud, esistono servizi migliori di altri rispetto a sicurezza, gestione dei dati e affidabilità? Applicazioni distribuite e servizi distribuiti implicano certamente di evolvere ad una sicurezza distribuita. In cosa consiste effettivamente e qual è l'evoluzione dei prossimi mesi/anni? Quali sono/saranno gli strumenti? 46
Standard & Norme Standard ISO 9000, 14000, 15000, 18000, 17020, 20000, 22301, 26000, 27000, 28000, 31000 Standard di mercato ITIL, COBIT, Prince, OSSTMM, OWASP, CC, CEM, CMMI, CSA STAR Normative specifiche per alcuni mercati PCI-DSS, SOX, Basilea, Solvency, FISMM, 263 Leggi D.lgs 196/2003, D.lgs 231/2001, D.lgs 262/2005, D.lgs 81/2008, Legge 48/2008, Legge 155/2005, D.lgs. 30/2005 47
Scenario Gestire la complessità causa errori Le persone non sono infallibili La statistica favorisce gli errori 48
Gestione dei permessi che le applicazioni (Android, ma non solo) richiedono quando vengono installate, è possibile fare qualcosa senza avere i privilegi di root? 49
Premere Allow 50
Cosa fanno le App? 51
FartDroid oltre 1.000.000 di download... 52
Io sono preoccupato 53
Gestione di firewall in modo automatico vs. configurazione ad hoc, quando vale la pena migliorare le proprie competenze in questo ambito? 54
Prospettive (in positivo e in negativo) della raccolta dei dati degli utenti, a cosa è bene prestare massima attenzione e quali sono invece fattori meno a rischio. 55
Conclusioni
Io sono preoccupato 57
Evoluzione La tecnologia si evolve e con essa anche le minacce! 58
Security... Un inutile impedimento che rallenta le comuni operazioni e danneggia il business? 59
Security... O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore? 60
Io sono preoccupato 61
Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sul business 62
Rischi facili da prevenire difficili da mitigare a posteriori 63
Optional? 64
Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso 65
These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same licence :) Altre domande? Grazie dell attenzione! Alessio L.R. Pennasilico - apennasilico@clusit.it facebook:alessio.pennasilico - twitter:mayhemspp - linkedin:alessio.pennasilico Security Question Time Treviso, Gennaio 2015
Un esempio concreto
Autenticazione 68
Come funziona di solito 69
Autenticazione: dietro le quinte select * from users where username= $_POST[username] AND password= $_POST[password] 70
SQL Injection: premesse Inserisco al posto della password: OR 1 = 1 71
SQL Injection (video) 72
SQL Injection: risultato select * from users where username= $_POST[username] AND password= OR 1 = 1 73
Come mi proteggo? Evito di processare i caratteri speciali come Prevedo il processo che si chiama normalizzare l input 74