Recitare a memoria la password zw67ghhj+1-tyb!!ytsa per partecipare a questo seminario sulla sicurezza

Recitare a memoria la password zw67ghhj+1-tyb!!ytsa per partecipare a questo seminario sulla sicurezza Alessio L.R. Pennasilico - apennasilico@clusit.it Richard Zoni - richard.zoni@vasco.com Security Summit 4 Ottobre 2012 - Verona

Alessio L.R. Pennasilico Security Evangelist @ Members of: Associazione Informatici Professionisti, CLUSIT, OPSI/AIP Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, Hacker s Profiling Project Spippolatori.org, IISFA, Metro Olografix, CrISTAL 2

Richard Zoni Channel Manager Italy 3

Domanda Come avete fatto ad entrare? :) 4

Password un problema che gestiamo da decenni litigando con gli utenti cercando di scrivere policy sicure ed applicabili... 5

La soluzione più economica Sono tranquillo per 21 Milioni di anni. perchè la mia password è: rtyx*pk2%9 - inventata da Richard ADESSO - dimenticata da Richard tra 5 MINUTI forse è meglio se me la scrivo! rtyx*pk2%9 6

Policy come memorizzarla e trasmetterla lunghezza complessità durata riutilizzo intervallo minimo per il cambio lock-out Non usare dati banali, non condividere, etc etc 7

Furbizia La percezione di password come impedimento porta gli utenti a cercare di aggirare le policy imposte costringendoci a scrivere policy più stringenti peggiorando la produttività ed aumentando l impatto sull IT 8

Secondo Gartner il 25% delle richieste di help desk hanno a che fare con problemi di autenticazione 9

Obblighi di legge in Italia D.Lgs. 196/2003 Allegato B Disciplinare tecnico in misure minime di sicurezza http://www.garanteprivacy.it/garante/doc.jsp?id=1557184 c.d. Decreto Amministratori di Sistema http://www.garanteprivacy.it/garante/doc.jsp?id=1577499 10

Estimated time to brute force psw crack @ 100.000 per second passw 26 36 52 96 length non-case alphanum. upper/lower all print. 4 <1min <1min 1 min 13 min 5 <1min 10 min 1hr 22 hrs 6 50 min 6 hr 2 days 3 mo 7 22 hr 9 days 4 mo 20 yrs 8 24 days 10 mo 17 yrs 2287 yrs 9 21 mo 33 yrs 881 yrs 219000 yrs 10 45 yrs 1159 yrs 45838 yrs 21 myrs 11

Violabilità delle password Per indovinare una password esistono diverse tecniche spesso varia anche il contesto di applicazione per questo esistono diversi strumenti 12

Tecniche Password guessing Shoulder Surfing Sniffing On-line attack Off-line attack 13

L approccio al problema... 14

Credenziali 15

C era una volta una principessa Re-install new pasword (Step2) The name of my favorite PET? 16

Identity theft Solo un furto di denaro? 17

Uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi 18

Vendere credenziali $"4.00" $"0.40" $"1.00" $"10.00" 19

$"425.00" Lunch&Learn with VASCO DIGIPASS and Intel as a Service 47 20

Password più usate password 123456 Qwerty Abc123 pippo 696969 Myspace1 Password1 pussy Nome proprio 21

Esempi Esistono diversi programmi per indirizzare diverse tipologie di password cracking 22

Cain & Abel 23

John the Ripper 24

Hydra mayhem@coniglio:~$ hydra - L uid.txt - P pwd.txt / 127.0.0.1 ftp - f Hydra v4.1 (c) 2004 by van Hauser / THC use allowed only for legal purposes. Hydra (http://www.thc.org) starting at 2004-06- 26 13:21:37 [DATA] 16 tasks, 1 servers, 132 login tries (l:12/p:11), ~8 tries per task [DATA] attacking service ftp on port 21 [21][ftp] host: 127.0.0.1 login: luser password: pippo [STATUS] attack finished for 127.0.0.1 (valid pair found) Hydra (http://www.thc.org) finished at 2004-06- 26 13:21:44 25

dizionari in italiano... 26

Rainbow tables Per violare le password criptate perdo molto tempo a criptare le password del dizionario per fare il match...se avessi un db con tutte le password in chiaro e tutte le rispettive versioni criptate... 27

Sniffing Le rainbow table sono molto comode anche per decriptare eventuali password criptate che passano in rete su segmenti sotto il mio controllo 28

Da cosa non proteggono? Utilizzare una efficace password policy non mi tutela da altri attacchi mirati a scardinare il processo di autenticazione 29

Input validation Nel caso di SQL Injection, ad esempio, la password policy è ininfluente sull attacco Una policy debole, tuttavia, potrebbe aiutare una successiva privilege escalation 30

SSL L utilizzo di comunicazioni criptate è fondamentale per proteggere la riservatezza delle informazioni. Se il mio sistema è vulnerabile, tuttavia, sarà vulnerabile su un canale criptato magari impedendo all IDS di rilevarlo... 31

L angolo dello sponsor

VASCO VASCO è un azienda globale con HQ in Svizzera e USA Quotata al NASDAQ: VDSI #1 al mondo per le soluzioni di autenticazione forte e firma digitale. oltre 11.000 clienti in 100 paesi del mondo, tra cui 1.700 banche (8 su 10 e-banking utilizzano vasco) oltre 100 milioni di autenticatori DIGIPASS venduti nel mondo Leader nei settori: e-banking online applications online gaming e-government 33

Campi di Attività Autentication Forte degli utenti Log-on verifica sicura che l utente sia chi pretende di essere Firma Elettronica Sicurezza di un messaggio/transazione (integrità e non ripudio) tra due soggetti che si conoscono Firma Digitale Sicurezza di un messaggio/transazione tra due soggetti che potrebbero non conoscersi, e le cui identità viene garantita da una terza parte. Tecnologia PKI 34

Challengers Leaders Ability to execute Niche players Visionaries Completeness of Vision 35

Mercati di riferimento B-2-C internet banking online gaming, betting, gambling e-governement government to citizens government to governement B-2-B reti di vendita, reti di partner, franshise, retailers,... Enterprise Security Sicurezza dei dipendenti Protezione SaaS applicazioni online, vendute as a service applicazioni in the cloud 36

Full Option, All-Terrain Authentication VASCO s Mission is to Authenticate the World VASCO s Vision: VASCO is the FULL OPTION, ALL TERRAIN authentication company VASCO combines all authentication technologies on one and unique platform VASCO s products can be used in unlimited verticals VASCO secures people all over the world 37

All-terrain = all applications Accesso Remoto (VPN, VPN-SSL, Citrix) Desktop: Log-on a Windows, Extranet, Web Portals, Web Applications Healthcare Automotive B-to-B Social Security E-brokerage E-banking E-commerce E-government Publishing Industry Education Online gaming 38

DPS vs VASCO Server Products 39

IDENTIKEY Enterprise Edition Remote Clients Web/AD Administration Administration Report Management & Generation Windows Logon Online Authentication Offline Data Synchronization ` Customer Web Applications Authentication/Signature API Administration API Provisioning API Report Management & Generation SOAP SOAP SEAL SSL SEAL TCL Automation Administration Report Management SEAL Citrix/OWA/IIS6 RADIUS Client RADIUS IDENTIKEY DB RADIUS LDAP via Windows API via Custom API ODBC Active Directory Backend RADIUS Windows LDAP Legacy 40

Client Side: DIGIPASS Factory A.L.R. Pennasilico - R. Zoni - Security Summit,Verona 2012 41

dp+ IPT DESS DESS 42

Solution Partners Encryption Authentication LAN Authentication Remote Authentication Application Authentication A.L.R. Pennasilico - R. Zoni - Security Summit,Verona 2012 43

Fattori di autenticazione Qualcosa che so Qualcosa che ho Qualcosa che sono 44

Autenticazione a più fattori Posso combinare più fattori tra loro: username password (qualcosa che so) PIN dinamico generato da un device (qualcosa che ho) impronta digitale (qualcosa che sono) 45

Single Sign-on Comodissimo per l utente Un possibile boomerang per la sicurezza 46

User Directory Active Directory LDAP Radius Kerberos DB SOAP 47

One Time Password Intercettabile? Con PIN aggiuntivo? Integrabile? Device fisico - Token vs SMS: pro o contro? 48

SmartCard Soggetta a diversi attacchi nel tempo mi lega ad un oggetto fisico ma soprattutto alla presenza di un lettore sul client che uso 49

RFID Contactless, molto comodo Troppo spesso facile da leggere, clonare mi lega ad un oggetto fisico ma soprattutto alla presenza di un lettore sul client che uso 50

Certificato Difficile da indovinare Statico Bisogna averlo sempre con se Scade? Dove lo conservo? Come lo trasmetto? 51

Biometria Qualcosa che sono pro: lo sono solo io contro: lo sono sempre e per sempre. oppure no. 52

Fake fingerprints Per clonare impronte digitali è possibile acquistare un kit su Internet di facile utilizzo 53

CCC e fingerprint Il ministro tedesco Schäuble era un grande fautore della biometria prima che il CCC pubblicasse la sua password, che non può essere cambiata 54

L impronta è consapevole? Alcuni lettori biometrici richiedono oltre al posare il dito, di eseguire alcune azioni Questo al fine di assicurarsi la volontarietà del gesto da parte del possessore del dito 55

WiFi Che algoritmo uso? Non importa, esiste una shared password? 56

Esempi Integrazione OTP Reverse Proxy Gestione Ospiti Fall back 57

Conclusioni

Conclusioni Il processo di AAA è distribuito e complesso Il suo impatto su IT e sugli utenti, quindi sul business, è sempre molto forte Tutte le informazioni che conservo su AAA devono essere tenute costantemente aggiornate 59

Conclusioni Abbiamo un vasto set di soluzioni da poter adottare Dobbiamo fare attenzione alla loro interoperabilità, costo, usabilità e sicurezza 60

These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same license :) Grazie dell attenzione! Domande? Alessio L.R. Pennasilico - apennasilico@clusit.it facebook:alessio.pennasilico - twitter:mayhemspp Richard Zoni - richard.zoni@vasco.com Security Summit 4 Ottobre 2012 - Verona