SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL



Documenti analoghi
Offerta per attivita di Vulnerability Assessment per il portale

Allegato Tecnico. Progetto di Analisi della Sicurezza

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Spett.le CRIF Via M. Fantin, Bologna

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

Spett.le Clever Consulting Via Broletto, Milano

Prof. Mario Cannataro Ing. Giuseppe Pirrò

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

penetration test (ipotesi di sviluppo)

VULNERABILITY ASSESSMENT E PENETRATION TEST

Troppe Informazioni = Poca Sicurezza?

SISTEMA DI GESTIONE INTEGRATO. Audit

Strategie e Operatività nei processi di backup e restore

Relazione su: A cura di:

Ministero del Lavoro e della Previdenza Sociale

PROFILO FORMATIVO Profilo professionale e percorso formativo

Nota interpretativa. La definizione delle imprese di dimensione minori ai fini dell applicazione dei principi di revisione internazionali

Software di gestione della stampante

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

3. APPLICABILITÀ La presente procedura si applica nell organizzazione dell attività di Alac SpA.

SOFTWARE PER LA RILEVAZIONE DEI TEMPI PER CENTRI DI COSTO

GESTIONE CONTRATTI. Contratti clienti e contratti fornitori

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

1) GESTIONE DELLE POSTAZIONI REMOTE

1. DISTRIBUZIONE Datore di Lavoro Direzione RSPP Responsabile Ufficio Tecnico Responsabile Ufficio Ragioneria (Ufficio Personale) Ufficio Segreteria

TeamPortal. Servizi integrati con ambienti Gestionali

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Manuale per la configurazione di AziendaSoft in rete

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

SEGNALIBRO NON È DEFINITO.

Introduzione alla consultazione dei log tramite IceWarp Log Analyzer

PIANIFICAZIONE DELLA FORMAZIONE: processi, attori e strumenti

OmniAccessSuite. Plug-Ins. Ver. 1.3

1 SCOPO E CAMPO DI APPLICAZIONE RIFERIMENTI SIGLE E DEFINIZIONI RESPONSABILITA PROCEDURA...3

Classe 5 Bi Laboratorio di informatica Esercitazione di gruppo: configurazione server Apache

ARCHIVIA PLUS VERSIONE SQL SERVER

GESTIONE DELLE NON CONFORMITÀ E RECLAMI

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Servizio di Posta elettronica Certificata (PEC)

Firewall e Abilitazioni porte (Port Forwarding)

Internet M A P P A. concettuale. COMPETENZE Utilizzare le reti e gli strumenti informatici con particolare riferimento alle attività commerciali

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

SINPAWEB corso per Tecnico della programmazione e dello sviluppo di siti internet e pagine web co.reg matricola 2012LU1072

LABORATORIO DI INFORMATICA

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Studi di Settore. Nota Operativa 22/4/2013

Internet. Internet. Internet Servizi e Protocolli applicativi. Internet. Organizzazione distribuita

TECNICO SUPERIORE PER L INFORMATICA INDUSTRIALE

Elementi sull uso dei firewall

SISTEMI E RETI 4(2) 4(2) 4(2) caratteristiche funzionali

PROTOS GESTIONE DELLA CORRISPONDENZA AZIENDALE IN AMBIENTE INTRANET. Open System s.r.l.

Informativa sulla privacy

IL SERVIZIO DI POSTA ELETTRONICA

Prodotto <ADAM DASHBOARD> Release <1.0> Gennaio 2015

Finalità delle Reti di calcolatori. Le Reti Informatiche. Una definizione di Rete di calcolatori. Hardware e Software nelle Reti

Light CRM. Documento Tecnico. Descrizione delle funzionalità del servizio

Utilizzo dei Server DNS e relative implicazioni

FidelJob gestione Card di fidelizzazione

Architettura del. Sintesi dei livelli di rete. Livelli di trasporto e inferiori (Livelli 1-4)

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

PROCEDURA GESTIONE APPROVVIGIONAMENTO E FORNITORI 02 30/09/2006 SOMMARIO

Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico

Integrazione del progetto CART regione Toscana nel software di CCE K2

CONFIGURAZIONE DI UN AZIENDA IN MODALITÀ REAL TIME

Progetto NoiPA per la gestione giuridicoeconomica del personale delle Aziende e degli Enti del Servizio Sanitario della Regione Lazio

REGOLAMENTO DELLA CERTIFICAZIONE DEI SITI INTERNET

Reti di Telecomunicazione Lezione 6

Strategia. degli ordini

INDICE. Istituto Tecnico F. Viganò PROCEDURA PR 01. Rev. 2 Data 20 Maggio Pagina 1 di 9 TENUTA SOTTO CONTROLLO DEI DOCUMENTI

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Come archiviare i dati per le scienze sociali

Installazione di GFI Network Server Monitor

Domande e risposte su Avira ProActiv Community


Prefazione Patente ECDL Patente Europea per la Guida del Computer AICA sette moduli Windows nella versione 7 Internet Explorer nella versione 8

ARP e RARP. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it Fulvio RISSO

Mon Ami 3000 Centri di costo Contabilità analitica per centri di costo/ricavo e sub-attività

Allegato 2 Modello offerta tecnica

Specifiche Tecniche CARATTERISTICHE TECNICHE GENERALI MINIME PER LA GESTIONE DEL SERVIZIO

Guida al primo accesso

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

COMPETENZE IN ESITO (5 ANNO) ABILITA' CONOSCENZE

Web Application Libro Firme Autorizzate

REALIZZAZIONE LAN

Allegato C REQUISITI ALTRI SERVIZI ALLA PERSONA. Requisiti Altri servizi alla persona

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

SCELTA DELL APPROCCIO. A corredo delle linee guida per l autovalutazione e il miglioramento

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

Problematiche correlate alla sicurezza informatica nel commercio elettronico


ASP RAGUSA Test verifica recupero Dati Contabilità Ciclo Versione: 1.0 Attivo

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

5.1.1 Politica per la sicurezza delle informazioni

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Dal menù Network/Interface/Ethernet configurare le interfacce WAN e LAN con gli opportuni ip:

ALICE AMMINISTRAZIONE UTENTI WEB

Transcript:

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8

Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221 Copia cartacea Controllata in distribuzione ad enti esterni Rilasciata al Copia cartacea non Controllata in distribuzione ad enti esterni N : N : Versione Pagina Motivo della revisione Data 1.0 Approvazione 21/12/05 Versione Redazione Verifica Approvazione Data 1.0 Roberto Ugolini Dario Cassinelli 21/12/05 ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 2 di 8

Indice 1 Scopo 4 2 Applicabilità 4 3 Modalità operative 5 4 Documentazione prodotta 8 5 Impegni 8 ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 3 di 8

1 Scopo Lo scopo del presente documento è quello di illustrare le attività richieste da Postecom per la realizzazione di un vulnerability assessment sistemistico/applicativo del servizio BancoPostaonline (BPOL) e del servizio BancoPostaImpresa online (BPIOL). 2 Applicabilità I servizi internet oggetto della verifica sono: Bancopostaonline, raggiungibile a partire dall indirizzo https://bancopostaonline.poste.it BancoPostaImpresa online, raggiungibile a partire dall indirizzo https://bancopostaimpresaonline.poste.it/rbweb/ L analisi sarà svolta simulando attacchi verso i servizi concordati, al fine di verificarne la possibile compromissione della riservatezza, integrità e disponibilità delle informazioni e delle funzionalità gestite. L analisi sarà svolta in due fasi temporalmente distinte, ma da concludersi entro il primo trimestre del 2006: prima fase, per il servizio BancoPostaonline, seconda fase, per il servizio BancoPostaImpresa online. Le modalità operative e la documentazione da produrre per ambedue le fasi sono descritte nei paragrafi successivi. ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 4 di 8

3 Modalità operative Di seguito sono elencate le modalità operative che dovranno essere impiegate. Il Fornitore può proporre modalità alternative, esplicitandole espressamente. ANALISI NON INVASIVA 1. IDENTIFICAZIONE E CLASSIFICAZIONE DELLE BANCHE DI DATI Questa fase ha lo scopo di identificare e di classificare le banche di dati gestite con il servizio oggetto della verifica. La classificazione è l elemento chiave che permette di valutare il rischio effettivo di una vulnerabilità associata alla particolare banca di dati. La classificazione sarà effettuata in base ai parametri riservatezza, integrità, disponibilità e tenendo conto gli aspetti legati alla privacy. 2. ANALISI DELL ARCHITETTURA Questa fase ha lo scopo di raccogliere il maggior numero di informazioni sull obiettivo che si intende attaccare senza toccare l obiettivo stesso. In particolare in questa fase è importante determinare, se pertinenti: domini, blocchi di rete e gli indirizzi IP dei sistemi direttamente collegati ad internet. Saranno effettuate interrogazioni ai seguenti servizi Internet (elenco non esclusivo): Search engine WHOIS database WAIS database DNS autoritativi primari e secondari (hidden) WWW (mapping, hyperlink traversal) Inoltre saranno analizzati, tramite interviste conoscitive e la documentazione di supporto, l architettura del servizio, i protocolli di comunicazione, i protocolli di sicurezza, i web server, i data server, gli application server ed i linguaggi di programmazione utilizzati. In questa fase sarà anche definita la piattaforma di attacco, anche in termini di dislocazione di rete. ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 5 di 8

ANALISI INVASIVA 3. SCANNING L obiettivo dello scanning è ottenere una verifica sulle informazioni ottenute nell analisi dell architettura, completandola con altre informazioni non ricavate precedentemente; ciò significa acquisire informazioni su quali IP dei blocchi di rete trovati nella fase precedente siano effettivamente contattabili, e, relativamente a tali IP, scoprire che servizi abbiano attivi e che sistemi operativi posseggano. Le tecnologie impiegate sono (elenco non esclusivo): Network Ping sweeps ICMP queries Port scanning (TCP, UDP, RPC, stealth) Stack fingerprinting (remote OS detection) Application fingerprinting Firewalking (TTL modulation) TCP sequence number randomness Traceroute Transitive trust Network reverse mapping 4. ENUMERATION Con questa fase si inizia l analisi invasiva vera e propria, infatti si effettuano connessioni dirette ai server ed interrogazioni esplicite, il che potrebbe (a seconda della configurazione presente sui sistemi) originare dei log. Attraverso l enumerazione si vuole giungere a identificare, sulle macchine riscontrate come raggiungibili, degli account validi (list user accounts), delle risorse condivise (list file shares) e delle applicazioni attive sulle porte in ascolto (identify application). Le tecniche utilizzate variano dai sistemi operativi delle macchine che vogliamo analizzare, di seguito una lista parziale: Finger Rusers X11 SMB netbios shares SMB netbios resources NFS shares ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 6 di 8

RPC mapping (portmap, common ports) Default accounts (SMTP, finger,..) SNMP Banner grabbing WWW (CGI, cookies, HTML sources, ) SSL (certificates, encryption used, numero di bits) ATTACCO 5. GAINING ACCESS Una volta ottenute le informazioni del punto precedente inizia il vero e proprio attacco che ha come obiettivo il riuscire a compromettere la riservatezza, l integrità e la disponibilità nel sistema remoto, delle informazioni e delle funzionalità gestite. I metodi utilizzati anche in questo caso dipendono dal sistema operativo della macchina, ma si basano sostanzialmente sulla ricerca di password corrispondenti agli utenti trovati (password guessing), sullo sfruttamento di errori progettuali delle applicazioni e servizi attivi sul server (buffer overflow, attacchi data driven, ecc.) o del sistema operativo stesso. La lista di tecniche e tecnologie impiegate in questa fase varia moltissimo a seconda dello scenario rilevato nelle fasi precedenti, un elenco non esaustivo è riportato di seguito: Cross-site scripting Parameter tampering Hidden field manipulation Backdoors e opzioni di debug Stealth commanding Forceful browsing Buffer overflow Cookie poisoning Configurazioni errate Vulnerabilità note SQL injection Attacchi http Attacchi Man-in-the-Middle Attacchi Denial Of Service ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 7 di 8

4 Documentazione prodotta Nella fase di assessment il Fornitore deve: rilevare le vulnerabilità e definire il fattore di rischio assoluto e quello reale (al fine di eliminare i falsi positivi ed in riferimento al contesto ambientale e topologico in cui il sistema si trova, e con riferimento alla banca di dati coinvolta); attribuire ad ogni vulnerabilità una valutazione del grado di SEVERITA (Alta / Media / Bassa). La severità delle vulnerabilità prese in considerazione deve essere valutata ispirandosi alle classificazioni più diffuse in ambito internazionale (CVE, OSVDB, NESSUS ecc.); raggruppare, ove possibile, le varie vulnerabilità in classi omogenee: la tabella delle classi è fornita dal Responsabile dei Servizi Sicurezza di Postecom al Fornitore. Il Fornitore produrrà un documento contenente l elenco dei sistemi/applicazioni testati, la descrizione delle vulnerabilità riscontrate con indicazione del livello di rischio e le soluzioni correttive, anche architetturali, suggerite per elevare il livello di sicurezza. La documentazione prodotta indicherà inoltre, relativamente alle azioni correttive, l eventuale prodotto, classe di prodotto, intervento software che possa risolvere il problema evidenziato. 5 Impegni E necessario che il Fornitore si impegni esplicitamente al rispetto della riservatezza delle informazioni, al rispetto puntuale della Specifica di Assessment (ambito, tempistica e modalità operative) e alla restituzione di tutti gli elaborati e dei risultati intermedi. ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 8 di 8

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back