Slides

Transcript

Slides

Quando inizi ad accettare l'impossibile,
rischi di scoprire la verità
(sulla sicurezza delle applicazioni in the cloud)
http://www.alba.st/
Verona, Milano, Roma
Phone/Fax +39 045 8271202
Alessio L.R. Pennasilico
[email protected]
Security Evangelist @
Board of Directors:
Associazione Informatici Professionisti, CLUSIT, OPSI
Associazione Italiana Professionisti Sicurezza Informatica
Italian Linux Society, Sikurezza.org, Hacker’s Profiling Project
!
[email protected]
2
Di cosa ci occupiamo?
Servizi a valore aggiunto:
Gap Analysis, Gestione della Compliance,
Penetration Test, Attack Mitigation, Hardening,
Crisis Management, Formazione
Gestione dell’infrastruttura:
Switching, Routing, Firewalling, Bridging, Wireless,
VoIP, Virtualization
[email protected]
3
Security Operation Center
ERT
SOC
[email protected]
4
World Wide Work
Customers
Conferences
Customers & Conferences
[email protected]
5
Research Programs
CrISTAL
Critical Infrastructures Security Testing and Analysis Lab
Childhood ITSec Awareness Permanent Program
[email protected]
6
Credits
Grazie ai colleghi
con i quali lavoro su questi temi:
Elisa Bortolani
Raoul Chiesa
Andrea Zapparoli Manzoni
Daniele Martini
Enzo Maria Tieghi
[email protected]
7
Disclaimer
Sono personalmente responsabile
di tutto quel che dirò,
che rappresenta la mia opinione
e la mia soltanto
[email protected]
8
Alessio L.R. Pennasilico - http://www.alba.st/
Lo scenario
Cosa dobbiamo affrontare?
Ogni anno
durante il Security Summit di Marzo a Milano
Clusit presenta un rapporto
su cosa è accaduto nell’anno precedente
cosa ci si aspetta dall’anno in corso
[email protected]
10
Contenuti
✓
Panoramica degli eventi cybercrime e incidenti
informatici più significativi del 2012, verificatisi in Italia e nel
mondo, con tendenze per il 2013 ed oltre
✓
Analisi del mercato italiano della sicurezza ICT e
tendenze degli investimenti delle aziende. Analisi e
prospettive del mercato del lavoro nel nostro settore.
✓
7 Focus on: Mobile Security, Social Media Security, Cloud
Security, Sicurezza in Sanità, e-Commerce, il protocollo IPv6,
Il salvataggio delle informazioni e la continuità di servizio.
[email protected]
11
Cosa emerge?
Tutti sono un bersaglio
Tutte le piattaforme sono un bersaglio
Le protezioni tradizionali sono inefficaci
[email protected]
12
Panoramica cybercrime
Analisi della situazione italiana
Fonte: Paolo Passeri – www.hackmageddon.com
[email protected]
Perché preoccuparsi?
Nel 2012 gli attacchi noti
che hanno prodotto un danno ingente a chi li ha
subiti in termini economici o di immagine
sono aumentati del 252%
Campione 1652 attacchi internazionali
[email protected]
14
Trend di crescita
2011
2012
Totale
Incremento
Ins$tu$ons:)Gov),)Mil),)LEAs),)Intelligence
153
374
527
244,44%
Others
97
194
291
200,00%
Industry:)Entertainment)/)News
76
175
251
230,26%
Industry:)Online)Services)/)Cloud)
15
136
151
906,67%
Ins$tu$ons:)Research),)Educa$on
26
104
130
400,00%
Industry:)Banking)/)Finance)
17
59
76
347,06%
Industry:)SoQware)/)Hardware)Vendor
27
59
86
218,52%
Industry:)Telco
11
19
30
172,73%
Gov.)Contractors)/)Consul$ng
18
15
33
,16,67%
Industry:)Security)Industry:
17
14
31
,17,65%
Religion)
0
14
14
1400,00%
Industry:)Health
10
11
21
110,00%
Industry:)Chemical)/)Medical
2
9
11
450,00%
469
1.183
1.652
252,24
VITTIME&PER&TIPOLOGIA
TOTALE
[email protected]
15
Chi attacca? Perché?
[email protected]
L’Italia #1
➡
➡
➡
➡
I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012)
Gli utenti di Social Network sono l’85,6% degli utenti online (23 M)
Il 28% della popolazione usa uno smartphone (17 M)
In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena
consapevolezza dei rischi informatici e di prendere contromisure.
➡
Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security
efficaci (educazione, prevenzione, gestione degli incidenti)
Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi.
➡
[email protected]
17
L’Italia #2
➡
➡
➡
Nel 2012 l’Italia è al nono posto a livello globale per la diffusione di
malware e soprattutto al primo posto in Europa per numero di PC
infettati e controllati da cyber criminali (le cosiddette botnet).
Nel 2012 8,9 milioni di italiani sono stati colpiti da una qualche forma di
crimine realizzato via Internet (sono diventati i reati più diffusi)
Solo Eurograbber (ZitMo) ha coinvolto in Italia 16 istituti bancari ed
11.893 utenti, causando il furto di oltre 16 milioni di euro in pochi giorni.
[email protected]
18
Cosa ci aspettiamo?
Cybercrime: in mancanza sia di barriere all’ingresso che di forme efficaci di
contrasto e disincentivazione, altri gruppi si uniranno a quelli già oggi in
attività. Aumenteranno fortemente sia i crimini informatici, sia quelli
tradizionali veicolati e/o commessi con l’ausilio di sistemi ICT.
Hacktivism: sempre più distruttivo, aumenteranno attacchi DDoS e data
leakage.
Cyber Espionage: attacchi sempre più sofisticati sponsorizzati da governi,
corporations e gruppi criminali in un contesto di “tutti contro tutti”.
Cyber Warfare : non ci sarà cyber war aperta, almeno per 1-2 anni, ma
tutti si preparano attivamente a combatterla, investendo ingenti risorse.
Schermaglie ed incidenti con frequenza crescente (Cyber Cold War).
Crescente rischio di “Black Swans” ed instabilità sistemica diffusa.
[email protected]
19
Hacker ed i media
Titolo #2
C'è una guerra là fuori
e non vincerà chi ha più pallottole
[email protected]
21
Contributo video
[email protected]
22
Quote del Video
Il nostro mondo non è più dominato dalle armi,
dall'energia, dai soldi; è dominato da piccoli uno e zero, da
bit e da dati, tutto è solo elettronica.
C'è una guerra là fuori, amico mio. Una guerra mondiale.
E non ha la minima importanza chi ha più pallottole, ha
importanza chi controlla le informazioni. Ciò che si vede, si
sente, come lavoriamo, cosa pensiamo, si basa tutto
sull'informazione!
[email protected]
23
Internet è reale
[email protected]
24
Titolo #3
Clicca qui per fare avere tutti i
tuoi dati ad una organizzazione
criminale
[email protected]
25
SecurityFocus breach
2001 - November
So what apparently occured was Fluffi Bunny
replaced that banner ad. If you poke around
thruport.com, you will see that many images were
replaced with the Fluffi banner ad. As a result,
various web sites that use the thruport.com
service had the alternate banner appear
throughout the day.
http://www.sikurezza.org/ml/12_01/msg00006.html
[email protected]
26
Quanta attenzione...
[email protected]
27
WikiLeaks
"Could become as important a
journalistic tool as the Freedom of
Information Act."
Time Magazine
http://wikileaks.org/
[email protected]
28
Anonymous
https://secure.wikimedia.org/wikipedia/it/wiki/Anonymous
[email protected]
29
Lulzsec
https://twitter.com/#!/LulzSec
[email protected]
30
CCC
Le forze dell’ordine tedesche utilizzano
malware per spiare i criminali/cittadini?
http://www.ccc.de/en/updates/2011/staatstrojaner
[email protected]
31
Forze dell’ordine
In Italia?
http://www.repubblica.it/politica/2011/06/22/news/mail_spia_hacker-18041273/
[email protected]
32
SecurityFocus breach
2001 - November
So what apparently occured was Fluffi Bunny
replaced that banner ad. If you poke around
thruport.com, you will see that many images were
replaced with the Fluffi banner ad. As a result,
various web sites that use the thruport.com
service had the alternate banner appear
throughout the day.
http://www.sikurezza.org/ml/12_01/msg00006.html
[email protected]
33
Quanta attenzione...
[email protected]
34
Pallottole...
[email protected]
35
Credenziali
[email protected]
36
Identity theft
Solo un furto di denaro?
[email protected]
37
Uno scherzo?
Danni economici
Danni di immagine
Ripercussioni sul credito
Difficile da dimostrare
Strascichi lunghissimi
[email protected]
38
Password in chiaro
Analisi tecnica?
Analisi del rischio?
[email protected]
39
Chi vuole le informazioni?
La criminalità organizzata mondiale
ha capito da tempo che
con “quelli dei computer”
è possibile gestire truffe
estremamente redditizie
[email protected]
40
Costo di un incidente?
Il danno medio di una intrusione informatica
è in costante aumento
Il costo per commissionare un attacco è in
costante diminuzione
Il numero di intrusioni informatiche...
[email protected]
41
Problema tecnologico?
Siamo sicuri che il problema sia l’informatica?
Il budget? Il tempo?
[email protected]
42
Da chi ci dobbiamo
difendere?
Hacker’s Profiling Project
Il progetto H.P.P. si pone l’obiettivo di analizzare il
fenomeno tecnologico, sociale ed economico
dell’hacking e del cybercrime nelle sue mille
sfaccettature, mediante approcci sia di tipo
tecnico che criminologico
[email protected]
44
Hacker
“ I do it for one reason and one reason only. I'm
learning about a system. The phone company is a
System. A computer is a System, do you
understand? If I do what I do, it is only to explore a
system. Computers, systems, that's my bag. The
phone company is nothing but a computer. ”
Captain Crunch
Tratto da “Secrets of the Little Blue Box “
Esquire Magazine, Ottobre 1971
[email protected]
45
I profili
[email protected]
46
L’etica e la percezione
[email protected]
47
Deterrenti
[email protected]
48
Cosa si evince?
Dal curioso che gioca con gli amici ...
... al criminale al servizio dei criminali ...
... che non conosce deterrente ...
[email protected]
49
Conseguenze nel
mondo reale
Mobile
Botnet di Smartphone
[email protected]
51
iPhone Worm: Rickrolls
Jailbreak di iPhone:
qualcuno cambia
la password di root?
(Novembre 2009)
[email protected]
52
PDF
[email protected]
53
[email protected]
54
Bakeca.it DDoS
http://www.slideshare.net/mayhemspp/bakeca-ddos-hope
[email protected]
55
SCADA
[email protected]
56
L’automazione Industriale
Un tema così attuale e
difficile da trattare
Clusit ha prodotto una
monografia per approfondire
il tema
[email protected]
57
WiFi in fabbrica
[email protected]
58
Un tema sempre più noto
[email protected]
59
Worms
“In August 2003 Slammer infected a private
computer network at the idled Davis-Besse
nuclear power plant in Oak Harbor, Ohio,
disabling a safety monitoring system for nearly
five hours.”
NIST, Guide to SCADA
[email protected]
60
Disgruntled employee
Vitek Boden, in 2000, was arrested, convicted and
jailed because he released millions of liters of
untreated sewage using his wireless laptop. It
happened in Maroochy Shire, Queensland, may be
as a revenge against his last former employer.
http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/
[email protected]
61
Il costo dell’hardening
Cliente con Altoforno gestito da PC
PC in LAN
Stima dei costi in caso di fermo-forno
Stima dei costi per isolare PC ed Altoforno in
una VLAN dedicata, il cui traffico sia filtrato a L3
3M € vs 3K €: progetto bocciato
[email protected]
62
Cloud Marketing
Performance
Il cloud mette a disposizione risorse
che difficilmente sarebbero gestibili “in-house”
anche da clienti finali anche molto grandi
[email protected]
64
Flessibilità
Sul cloud posso
aumentare o diminuire le risorse utilizzate
(pagate)
secondo necessità
[email protected]
65
Sicurezza
I grandi player garantiscono
strumenti tecnologici e di governance
che offrono una sicurezza superiore
a quella che dovrebbero garantire
le soluzioni “in-house”
[email protected]
66
Disponibilità
Il cloud utilizza strumenti e protocolli standard,
garantisce l’interoperabilità
e la possibilità di trasportare il dato da un
contesto all’altro
[email protected]
67
Cloud
Un mondo dorato di soffici
arcobaleni?
[email protected]
68
Cloud
“Ci sedemmo dalla
parte del torto visto
che tutti gli altri posti
erano occupati”
Bertolt Brecht
[email protected]
69
Value proposition?
DDOS?
High Performance?
Scaling resorces?
Pay per use?
Dynamic adapting?
Mobile users?
[email protected]
70
Non è tutto oro...
Ma forse è ora?
[email protected]
71
Problemi secondari
PT?
Data location?
Audit?
[email protected]
72
Digital divide
Hai abbastanza banda?
Una linea di backup?
[email protected]
73
La commedia
Personaggi
Il Governo
Gli Hacker
Il Popolo
Internet
Noi
[email protected]
75
Abientazione
Dove si è svolta l’intera
commedia per me
[email protected]
76
Ambientazione Reale?
[email protected]
77
Ambientazione Reale?
[email protected]
78
Prologo
[email protected]
79
Prologo
A volte la realtà
supera la peggiore delle fiction
[email protected]
80
La notte del 19 Gennaio
SOPA
Stop Online Piracy Act
La legge permetterebbe ai titolari di copyright statunitensi di agire
direttamente per impedire la diffusione di contenuti protetti.
A seconda del richiedente, le sanzioni potrebbero includere il
divieto ai network pubblicitari o ai siti di gestione dei pagamenti
d'intrattenere rapporti d'affari con il sito accusato delle infrazioni,
il divieto ai motori di ricerca di mantenere attivi link verso il sito
in questione e la richiesta agli Internet Service Provider di
bloccare l'accesso al sito web.
http://it.wikipedia.org/wiki/Stop_Online_Piracy_Act
[email protected]
82
La protesta
[email protected]
83
La protesta
Google
BoingBoing
Wired
Twitter
Huffington
Post
Tumblr
Craiglist
Wordpress
Mozilla
EFF
ArsTecnica
Reddit
O’Reilly
[email protected]
TechCrunch
Xkcd
GoDaddy
Vimeo
Amazon
…
84
Il Grande giubilo
I cittadini orientano la
politica
Grande vittoria della
democrazia
[email protected]
85
FBI vs MegaVideo
http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=9998
[email protected]
86
Anonymous
[email protected]
87
L’opinione di 2600
Most importantly, these attacks are turning attention away
from what is going on with Wikileaks. This fight is not about
a bunch of people attacking websites, yet that is what is in
the headlines now. It certainly does not help Wikileaks to
be associated with such immature and boorish activities
any more than it helps the hacker community. From what
we have been hearing over the past 24 hours, this is a
viewpoint shared by a great many of us.
http://www.2600.com/news/view/article/12037
[email protected]
88
Mega* & Kim
Kim Kimble Schmitz Dotcom
[email protected]
90
Kimble come lo ricordiamo...
[email protected]
91
Le reazioni nell’underground
[email protected]
92
Kimble e la legge
As a teenager, Dotcom earned a reputation in his
native Germany for cracking corporate PBX
systems in the United States […] That effort led
to his arrest on charges of using and selling
stolen calling card numbers. […]
In 1998, Dotcom was sentenced to a
probationary sentence of two years for
computer fraud and handling stolen goods.
https://en.wikipedia.org/wiki/Kim_Schmitz
[email protected]
93
Kimble ed il denaro
In January 2002, Dotcom was arrested in
Bangkok, Thailand, deported to Germany, and
sentenced to a probationary sentence of one
year and eight months, and a €100,000 fine, the
largest insider-trading case in Germany at the
time. Dotcom also pleaded guilty to
embezzlement in November 2003 and received a
two-year probation sentence.
[email protected]
94
Kimble e l’innovazione
In 1999, […] presented the "Megacar", a Brabustuned Mercedes-Benz S-Class W220 which,
among other features, had a Windows NT
server, a 17.3" SGI flat panel display and
combined 16 GSM modules to provide mobile
broadband Internet access.
[email protected]
95
Kimble e la musica
MegaUpload is currently being portrayed by the
MPAA and RIAA as one of the world’s leading
rogue sites. But top music stars including P
Diddy, Will.i.am, Alicia Keys, Snoop Dogg and
Kanye West disagree and are giving the site their
full support in a brand new song.
https://torrentfreak.com/riaa-label-artists-a-list-stars-endorse-megaupload-in-new-song-111209/
[email protected]
96
Kimble e SOPA
“We implemented this to give users the fastest
and most direct channel to our sites,” Kim told
TorrentFreak. “Mega is not concerned about
SOPA or Protect IP. We are a legitimate online
service provider, online for 7 years.”
[email protected]
97
Errore?
http://www.repubblica.it/tecnologia/2012/04/23/news/salta_estradizione_dot_com-33813600/
[email protected]
98
Dubbi
Domande nella notte
Dove sono i nostri dati?
Chi li può visionare? Conservare?
I miei dati da chi verranno visionati?
Saranno sempre nella mia disponibilità?
[email protected]
100
Riservatezza?
Kimble è tra i buoni o i cattivi?
Resta il CEO pluricondannato che poteva
chiedere ai suoi tecnici di vedere i dati dei clienti
[email protected]
101
Mega*: solo film ed MP3?
Dove sono ora i dati delle aziende paganti?
Cosa fare degli abbonamenti pre-pagati?
[email protected]
102
Paranoia is a virtue
[email protected]
103
Cloud services
Servizi cloud
Possono essere declinati in diverse modalità
operative
[email protected]
105
Cloud Services
[email protected]
106
SaaS (Software as a Service) - Consiste
nell'utilizzo di programmi installati su un server
remoto, cioè fuori del computer fisico o dalla
LAN locale, spesso attraverso un server web.
Questo acronimo condivide in parte la filosofia di
un termine oggi in disuso, ASP (Application
service provider).
http://it.wikipedia.org/wiki/Cloud_computing
[email protected]
107
DaaS (Data as a Service) - Con questo servizio
vengono messi a disposizione via web solamente i
dati ai quali gli utenti possono accedere tramite
qualsiasi applicazione come se fossero residenti
su un disco locale.
[email protected]
108
HaaS (Hardware as a Service) - Con questo
servizio l'utente invia dati ad un computer che
vengono elaborati da computer messi a
disposizione e restituiti all'utente iniziale.
[email protected]
109
PaaS (Platform as a Service) - Invece che uno o
più programmi singoli, viene eseguita in remoto
una piattaforma software che può essere
costituita da diversi servizi, programmi, librerie,
etc. (ad esempio Google's App Engine)
[email protected]
110
IaaS (Infrastructure as a Service) - Utilizzo di
risorse hardware in remoto. Questo tipo di cloud
è quasi un sinonimo di Grid Computing, ma con
una caratteristica imprescindibile: le risorse
vengono utilizzate su richiesta o domanda al
momento in cui una piattaforma ne ha bisogno,
non vengono assegnate a prescindere dal loro
utilizzo effettivo.
[email protected]
111
Cloud services
[email protected]
112
Cloud services
[email protected]
113
Cosa proteggere?
A seconda del servizio sottoscritto
possiamo adottare diverse misure
[email protected]
114
SSL
Solo perché sono paranoico
non significa che non mi stiano seguendo...
[email protected]
115
Cosa proteggere?
Proteggere una applicazione è impossibile
Proteggere una infrastruttura è doveroso
[email protected]
116
Ambienti misti
[email protected]
117
IaaS
Segregation
[email protected]
118
Firewall
Cosa posso proteggere?
[email protected]
119
AF
Possiamo proteggere le nostre applicazioni
se il deploy ha previsto questa funzionalità
[email protected]
120
WAF
E’ quasi certamente “roba web”:
posso fare security su quel traffico?
[email protected]
121
Protocolli del secolo scorso
Posso gestire correttamente protocolli
complessi?
Lo posso fare io?
[email protected]
122
VPN
E’ necessario aggiungere ulteriori layer di
sicurezza?
E’ possibile farlo?
[email protected]
123
DNS
Non sottovalutate
l’importanza delle “Pagine Gialle®”
[email protected]
124
Chi sei?
Cloud provider
MSSP
Cloud System Integrator
Rivenditore
Cliente
[email protected]
125
Etica...
DPI
Filtering
[email protected]
126
Compliance
Che leggi è necessario rispettare?
Che policy è necessario rispettare?
[email protected]
127
Strumenti
Che caratteristiche devono avere gli strumenti
usati?
[email protected]
128
Dati sensibili?
Cosa carico in the cloud?
[email protected]
129
Dati in the cloud
Posso criptare le informazioni?
Posso fare dei backup?
[email protected]
130
Dati in the cloud
Posso anonimizzare le informazioni ove
necessario?
Retention in caso di cancellazione?
[email protected]
131
Altri meccanismi
Come gestisco servizi basati su certificati?
[email protected]
132
Monitoring
Posso monitorare i miei servizi?
Quali / Come?
[email protected]
133
No-Cloud
Il Cloud Computing può essere un importante
strumento per creare valore per l’azienda tramite
l’ottimizzazione di alcuni processi.
Tuttavia va valutato con attenzione, sotto ogni
aspetto implementativo ed organizzativo.
[email protected]
134
Strumenti
Non sempre è possibile utilizzare gli strumenti
che siamo abituati ad avere a disposizione
L’importante è poter utilizzare che avevo deciso
essere necessari
[email protected]
135
Conclusioni
Conclusioni
Tutti sono un bersaglio
Tutte le piattaforme sono un bersaglio
Le protezioni tradizionali sono inefficaci
[email protected]
137
Cosa dobbiamo affrontare?
Rischi
reali, concreti
semplici da trasformare in incidenti
alta probabilità di conversione in incident
grande impatto sulle persone
[email protected]
138
Cosa fare?
Rischi
facili da prevenire
difficili da mitigare a posteriori
[email protected]
139
No-Cloud
Il Cloud Computing può essere un importante
strumento per lavorare meglio.
Vanno valutate con attenzione i rischi.
[email protected]
140
Conclusioni
L’informatica
deve rispondere alla necessità di creare valore
per il “business”
deve rispondere alla necessità di tutelare tutti gli
asset “aziendali”
[email protected]
141
Conclusioni
L’analisi del rischio
è e deve essere
mirata a tutelare gli asset aziendali
[email protected]
142
Security by Design
Se costruisco una casa
senza progettare
uscite di sicurezza
costruirle a lavori finiti
sarà disastroso
[email protected]
143
Bibliografia
http://www.salon.com/2000/06/14/love_7/singleton/ (Intervista a Courtney Love)
https://torrentfreak.com/from-rogue-to-vogue-megaupload-and-kim-dotcom-111218/
http://arstechnica.com/tech-policy/news/2012/04/megaupload-erasing-our-servers-as-the-us-wants-would-deny-us-a-fair-trial.ars
http://www.futurodigitale.com/i-tech/la-verita-sulla-chiusura-di-megaupload
[email protected]
144
Domande?
Grazie!
http://www.alba.st/
Verona, Milano, Roma
Phone/Fax +39 045 8271202
These slides are
written by Alessio
L.R. Pennasilico aka
mayhem. They are
subjected
to
Creative Commons
AttributionShareAlike 2.5
version; you can
copy, modify or sell
them. “Please” cite
your source and use
the same licence :)
[email protected]

Slides

Transcript

Documenti analoghi

Alessio Bertallot

news concerto - Fondazione Alessio Tavecchio onlus

I vini del Piemonte

BAROLO DOCG - Fontanafredda

serralunga d`alba barolo docg

dolcetto d`alba doc l`alto

VERDUNO PELAVERGA O VERDUNO DOC

Il Re Perduto - Lo scrittoio di Guildenstern

barbera d`alba doc bricco