La tua tecnologia vista da un hacker Quali rischi corriamo ogni giorno? Alessio L.R. Pennasilico mayhem@obiectivo.it Confindustria Vicenza - 26 Febbraio 2015
$whois -=mayhem=- Security Evangelist @ Committed: AIP Associazione Informatici Professionisti CLUSIT, Associazione Italiana per la Sicurezza Informatica IISFA, Italian Linux Society, Metro Olografix Sikurezza.org, Spippolatori... 2
#iosonopreoccupato 3
Perché occuparsi di security?
L importanza delle informazioni 5
#iosonopreoccupato 6
Quanta attenzione... 7
Economia digitale 8
Ci attaccano per questo? 9
Identity theft: solo uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi 10
Rapporto Clusit 2015
Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell anno precedente e cosa ci si aspetta dall anno in corso 12
#iosonopreoccupato 13
Cosa emerge? Non importa chi sei Non importa cosa fai Non importa con cosa lo fai Ti attaccheranno E se non ti sarai protetto in modo adeguato subirai dei danni 14
Tutti vengono colpiti 15
16
Botnet Infetto il maggior numero possibile di host Li uso per fare spam, phishing, spit, vishing, DDoS Le affitto a chi vuole gestire da se le stesse attività Avendo il controllo del PC non mi costa nulla cercare dati personali 17
RBN 18
DDoS for Dummies Pay Russian Business Network DDOS Cost: $300 for 24 hours Month long prices available, no need to plan ahead. Also available for $50 per hour http://www.washingtonpost.com/wp-dyn/content/article/2007/10/12/ar2007101202461.html?nav=rss_technology http://www.birmingham-infragard.org/meetings/talks/presentations/ddos.in.practice.pdf 19
DDoS Market 20
Managing an attack 21
Trend? Aumentano i tentativi di intrusione Tra i tentativi aumentano quelli andati a buon fine Ad ogni intrusione perdiamo sempre più denaro 22
23
24
Aumento dei Black Swan 25
#iosonopreoccupato 26
Ransomware Ti cripto tutti i dati e chiedo il riscatto per dati la chiave per poterli consultare di nuovo 27
17 Novembre 2013 http://thehackernews.com/2013/11/cryptolocker-ransomware-spam-emails-campaign-ten-million-users.html 22 Novembre http://thehackernews.com/2013/11/us-police-department-pays-750-ransom-to.html 12.000 device infetti x $ 750 = $ 9.000.000 5% di 10.000.000 x $ 750 = $ 375.000.000 28
Cryptolocker Mobile? https://nakedsecurity.sophos.com/2014/06/06/cryptolocker-wannabe-simplelocker-android/ 29
Un esempio concreto
OWASP 10 Ten 31
Autenticazione 32
Come funziona di solito 33
Autenticazione: dietro le quinte select * from users where username= $_POST[username] AND password= $_POST[password] 34
SQL Injection: premesse Inserisco al posto della password: OR 1 = 1 35
SQL Injection (video) 36
SQL Injection: risultato select * from users where username= $_POST[username] AND password= OR 1 = 1 37
Come mi proteggo? Evito di processare i caratteri speciali come Prevedo il processo che si chiama normalizzare l input 38
#iosonopreoccupato 39
Altri rischi? Posso interrogare il DB e ottenere tutti i dati contenuti: ' UNION ALL SELECT NULL,username,password,NULL FROM utenti WHERE 'x'='x (provate ad inserire questa stringa in Ricerca Contatto...) 40
Password in cleartext 41
Esempio di cash-out Guadagna da casa, diventa il ns. responsabile commerciale, dacci il tuo IBAN e dovrai solo riscuotere le fatture dei ns. clienti Italiani. Le ragioni sono meramente fiscali. 42
Conclusioni
Evoluzione La tecnologia si evolve e con essa anche le minacce! 44
IT Security... Un inutile impedimento che rallenta le comuni operazioni e danneggia il business? 45
IT Security... O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore? 46
Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sul business 47
Cosa dobbiamo affrontare? Rischi facili da prevenire difficili da mitigare a posteriori 48
Optional? 49
Più GRCI per tutti! 50
#iosonopreoccupato 51
Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso 52
I Rischi Devo scegliere quali mitigare quali accettare quali trasferire per non farmi cogliere impreparato... 53
Grazie dell attenzione! Domande? Alessio L.R. Pennasilico mayhem@obiectivo.it twitter: mayhemspp - FaceBook: alessio.pennasilico - linkedin:alessio.pennasilico Confindustria Vicenza - 26 Febbraio 2015