La pratica della Sicurezza Informatica dall`artigianato all

Transcript

Sicurezza informatica
La pratica della Sicurezza Informatica
dall'artigianato all'industrializzazione
Andrea Zwirner
[email protected]
@AndreaZwirner
24 febbraio 2015
Andrea Zwirner – Linkspirit
Università degli Studi di Verona
Presentazione del curriculum Sicurezza del Sistemi Informatici
1
Chi sono
●
●
Mi interesso di sicurezza informatica dallo scorso millennio
–
“Connettere” significava “intrecciare”
–
Hacker non aveva ancora alcun significato
Ho fondato Linkspirit, azienda che si occupa di
–
Consulenza nella progettazione di software e sistemi
–
Verifiche di sicurezza
–
Formazione
24 febbraio 2015
2
Nel (poco) tempo libero
●
Partecipo a diversi progetti liberi legati la divulgazione della
cultura sulla sicurezza informatica
www.isecom.org
www.hackerhighschool.org
Progetto Scuole
24 febbraio 2015
www.progettoscuole.it
3
Sicurezza informatica “offensiva”
●
●
●
Utilizzo di strumenti e metodologie usate dagli attaccanti reali
Accesso a servizi ed informazioni senza possedere i permessi
previsti dalle politiche di sicurezza
–
Lettura
→
Confidenzialità
–
Scrittura
→
Integrità / Disponibilità
Evidenzia le vulnerabilità di sicurezza presenti nei sistemi
oggetto di analisi
24 febbraio 2015
4
Di cosa parliamo oggi
●
●
●
La mia* visione dell'evoluzione della “sicurezza informatica”,
Uno sguardo su come si prospetta essere il domani
Alcuni dei progetti dell'Università di Verona per il curriculum di
sicurezza dei sistemi informatici
* non necessariamente completa, corretta o sensata e, soprattutto, rivolta ad un pubblico adulto.
24 febbraio 2015
5
Hacking: le origini della sicurezza informatica
●
●
●
La sicurezza informatica come la conosciamo oggi affonda le
sue radici nell'hacking (nel cosiddetto “underground”)
L'underground fiorisce nei Bulletin Board Systems (BBS) e
nelle e-zine
L'hacking non è altro che ricerca di conoscenza, in campo
informatico
24 febbraio 2015
6
Phrack Magazine
●
Il numero di Phrack Magazine (48 di giugno '96) da cui molti –
fra cui il sottoscritto – hanno appreso l'IP-spoofing
24 febbraio 2015
7
Hacking: le origini della sicurezza informatica
●
●
●
Al di la del nome, allora come ora l'argomento sicurezza era
affascinante
Non esisteva un buon quadro normativo e lato FF.OO. non vi
erano competenze e strumenti per farlo rispettare
Il terreno era fertile: la rete era disseminata da milioni di
sistemi a sicurezza zero
24 febbraio 2015
8
24 febbraio 2015
9
Tutta la tecnologia a disposizione
24 febbraio 2015
10
Non proprio tutta, c'è anche il server della famiglia
24 febbraio 2015
11
Oggi lo chiameremmo “sentiment ”
24 febbraio 2015
12
Altra tecnologia
24 febbraio 2015
13
Cose oggi date per scontate
24 febbraio 2015
14
La figura dell'hacker
●
Alla base ci sono passione e profonde competenze (al di la di
come poi queste vengano utilizzate)
●
Vi è una forte base etica
●
Vi è un ideale
●
La condivisione è strumento di crescita personale e di gruppo
24 febbraio 2015
15
The Hacker Manifesto
●
Il Manifesto Hacker di The Mentor, scritto l'8 gennaio 1986,
viene pubblicato nell'uscita 7 di Phrack
24 febbraio 2015
16
La figura del cracker
●
●
●
●
●
La figura dell'hacker è rovinata da quella del cracker
Se da una parte può condividerne le competenze, dall'altra
non ne condivide ne l'etica ne gli ideali
Spesse volte non ha le competenze dell'hacker, ma fa uso di
ciò che questo condivide
Può essere spinto da svariate motivazioni, fra cui gli interessi
economici e l'affermazione personale
Nasce la “moda” del defacement
24 febbraio 2015
17
Il defacement come strumento di affermazione
24 febbraio 2015
18
La necessità della sicurezza informatica
●
●
Internet non è molto diffusa, ma esiste già la necessità di
tenere al sicuro informazioni di grandi imprese, governi,
militari o bancarie
I primi “esperti di sicurezza informatica” sono gli stessi hacker
24 febbraio 2015
19
Famous black and white hat wearers
Mr. Kevin Mitnik
24 febbraio 2015
Mr. Tsutomu Shimomura
20
L'hacker come esperto di sicurezza informatica
●
●
●
Le verifiche di sicurezza sono effettuate da hacker, che
trasformano in lavoro la loro passione
Siamo ai tempi dell'artigianato della sicurezza informatica
–
Scrittura ed adattamento di codice ad-hoc
–
Modalità di lavoro elegante e raffinata
Strumenti e metodologie dell'hacking sono utilizzati per
fronteggiare gli attacchi informatici
24 febbraio 2015
21
L'evoluzione della minaccia
●
●
Con la diffusione di Internet, il piatto cresce notevolmente ed i
fini si diversificano
–
Frodi, truffe, ricatti, estorsioni, furti di identità, spionaggio
industriale
–
Il ritorno economico è altissimo, sia lavorando su grandi
numeri che su grandi lavori
Non parliamo di hacking ne di cracking, ma di crimine
informatico
–
Reati informatici
–
Reati compiuti attraverso lo strumento informatico
24 febbraio 2015
22
ed il degrado delle competenze
●
La maggior parte degli attacchi non merita nemmeno di
essere considerato hacking
24 febbraio 2015
23
La nascita dell'industria della sicurezza
●
Ogni azienda ha qualcosa da proteggere
–
La richiesta del mercato cresce notevolmente
●
L'offerta di artigiani scarseggia
●
Le strategie di attacco sono di bassa qualità
●
La sicurezza delle aziende è inesistente
●
Un offerta a limitata qualità è più che sufficiente
24 febbraio 2015
24
La nascita dell'industria della sicurezza
●
Standardizzazione ed automazione di procedure
–
●
●
Verifiche di sicurezza automatizzate
Forte abbassamento della qualità nel servizio
Inizialmente la situazione delle aziende è talmente grave che
vi è comunque un miglioramento generale
24 febbraio 2015
25
Il modello di business
●
Nascono aziende di sicurezza con due prerogative
–
Creare un reparto commerciale in grado di vendere test di
sicurezza “al chilo”
–
Creare un reparto tecnico con le competenze per
●
●
●
fare click sul pulsante avvia test
stampare e rilegare il report automatico
Scherzo, fino ad un certo punto
24 febbraio 2015
26
Un modello sostenibile?
●
●
Sul lungo periodo però i nodi tornano al pettine
–
Grosse aziende sotto attacco vengono inesorabilmente
violate
–
Retest (artigianali) di sistemi già testati (industrialmente)
evidenziano diverse vulnerabilità
All'orizzonte vi è di nuovo la necessità di persone competenti
in materia
24 febbraio 2015
27
In tutto questo gli hacker si sono estinti?
●
●
C'è stata una leggera tendenza a proteggere le competenze,
proteggendone la diffusione
In generale però sono dove sono sempre stati, hanno
conservato la loro etica ed i loro ideali
24 febbraio 2015
28
Dove sono finiti gli hacker
24 febbraio 2015
29
Ma gli hacker si sono estinti?
●
●
Non sono certo sufficienti a soddisfare la richiesta del mercato
Attualmente chi ha un curriculum – anche non particolarmente
guarnito – ha ottime opportunità di lavoro
–
la maggior parte delle quali all'estero (per ora)
24 febbraio 2015
30
Il progetto dell'università di Verona
●
●
Affiancare agli insegnamenti accademici esercitazioni pratiche
di effettiva utilità nel campo del lavoro
Favorire l'apprendimento di strategie di difesa di software e
sistemi inquadrando i problemi dal punto di vista offensivo
24 febbraio 2015
31
Laboratori di sicurezza
●
●
●
●
Implementazione di un ambiente virtuale (contenitore)
Fornisce un contesto di esecuzione a diverse famiglie di
esercitazioni sulla sicurezza
Fornisce apparati di rete, per il monitoraggio, host con diversi
sistemi operativi ed il software su di essi installato
Un contenitore viene istanziato all'avvio di ogni esercitazione e
distrutto al termine
24 febbraio 2015
32
Laboratori di sicurezza
●
●
●
Separa l'esercitazione dal resto del mondo, creando un
ambiente controllato in cui “smanettare” in libertà.
Dal punto di vista dell'utilizzo i contenitore è
–
Indipendente dagli esercizi
–
Di configurazione immediata
La creazione e rilascio degli esercizi potrà essere effettuata da
tutti, studenti compresi
24 febbraio 2015
33
Laboratorio di analisi dei sistemi
●
●
Ha il fine di familiarizzare con gli strumenti di analisi
successivamente utilizzati negli altri laboratori
Esercizi su tematiche di debugging e test di sistemi in
ambiente Windows, Linux e mobile (emulatori)
–
Esempi di debug
–
Analisi di file oggetto e disassemblaggio
–
Alterazione dello stato dei processi
–
Monitoraggio ed alterazione delle interazioni interprocesso
24 febbraio 2015
34
Laboratorio di codice malevolo
●
●
Disponibilità di una rete di macchine virtuali (e fisiche) per
l'esecuzione di malware
Analisi delle attività del codice malevolo in esecuzione
–
Alterazioni dello stato del sistema compromesso
–
Traffico di rete generato
24 febbraio 2015
35
Laboratorio di sicurezza delle reti
●
●
Disponibilità di una rete virtuale di macchine client, server ed
appartati attivi, con sistemi operativi differenti
Esercizi di dirottamento, intercettazione, analisi ed alterazione
del traffico di rete
●
Esercizi di rilevazione di anomalie del traffico di rete (IDS)
●
Esercizi di analisi e verifica delle configurazioni di filtraggio
●
Fingerprinting di sistemi e servizi, rilevazione di vulnerabilità
●
Attacchi ARP spoofing e MITM
24 febbraio 2015
36
Laboratorio di sicurezza del software
●
●
Esercizi su tematiche di protezione del software
–
Elusione di controlli di sicurezza (password, chiavi, licenze)
–
Elusione di sistemi di protezione della proprietà intellettuale
Esercizi sulle specificità dell'ambiente mobile
–
●
Elusione dei sistemi di protezione di informazioni
Esercizi su tematiche di vulnerabilità del software
–
Overflow del buffer
–
Applicazioni web
24 febbraio 2015
37
Sicurezza informatica
La pratica della Sicurezza Informatica
Andrea Zwirner
[email protected]
@AndreaZwirner
24 febbraio 2015
38

La pratica della Sicurezza Informatica dall`artigianato all

Transcript

Documenti analoghi

bre banca lannutti cuneo roster

revisione degli usi e consuetudini 2006-2013

Lista completa

CVTemplate_it_ANDREA BARONI

PANDORO DI VERONA E` un classico dei dolci natalizi, prodotto a

pdf, it, 169 KB - Università degli Studi di Verona

rosso verona

Scarica CV

COSSALTER ANTONIO

“La forza di noi italiani? Siamo innovatori per tradizione” Francesco