La pratica della Sicurezza Informatica dall`artigianato all
Transcript
La pratica della Sicurezza Informatica dall`artigianato all
Sicurezza informatica La pratica della Sicurezza Informatica dall'artigianato all'industrializzazione Andrea Zwirner [email protected] @AndreaZwirner 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 1 Chi sono ● ● Mi interesso di sicurezza informatica dallo scorso millennio – “Connettere” significava “intrecciare” – Hacker non aveva ancora alcun significato Ho fondato Linkspirit, azienda che si occupa di – Consulenza nella progettazione di software e sistemi – Verifiche di sicurezza – Formazione 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 2 Nel (poco) tempo libero ● Partecipo a diversi progetti liberi legati la divulgazione della cultura sulla sicurezza informatica www.isecom.org www.hackerhighschool.org Progetto Scuole 24 febbraio 2015 Andrea Zwirner – Linkspirit www.progettoscuole.it Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 3 Sicurezza informatica “offensiva” ● ● ● Utilizzo di strumenti e metodologie usate dagli attaccanti reali Accesso a servizi ed informazioni senza possedere i permessi previsti dalle politiche di sicurezza – Lettura → Confidenzialità – Scrittura → Integrità / Disponibilità Evidenzia le vulnerabilità di sicurezza presenti nei sistemi oggetto di analisi 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 4 Di cosa parliamo oggi ● ● ● La mia* visione dell'evoluzione della “sicurezza informatica”, dall'artigianato all'industrializzazione Uno sguardo su come si prospetta essere il domani Alcuni dei progetti dell'Università di Verona per il curriculum di sicurezza dei sistemi informatici * non necessariamente completa, corretta o sensata e, soprattutto, rivolta ad un pubblico adulto. 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 5 Hacking: le origini della sicurezza informatica ● ● ● La sicurezza informatica come la conosciamo oggi affonda le sue radici nell'hacking (nel cosiddetto “underground”) L'underground fiorisce nei Bulletin Board Systems (BBS) e nelle e-zine L'hacking non è altro che ricerca di conoscenza, in campo informatico 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 6 Phrack Magazine ● Il numero di Phrack Magazine (48 di giugno '96) da cui molti – fra cui il sottoscritto – hanno appreso l'IP-spoofing 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 7 Hacking: le origini della sicurezza informatica ● ● ● Al di la del nome, allora come ora l'argomento sicurezza era affascinante Non esisteva un buon quadro normativo e lato FF.OO. non vi erano competenze e strumenti per farlo rispettare Il terreno era fertile: la rete era disseminata da milioni di sistemi a sicurezza zero 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 8 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 9 Tutta la tecnologia a disposizione 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 10 Non proprio tutta, c'è anche il server della famiglia 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 11 Oggi lo chiameremmo “sentiment ” 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 12 Altra tecnologia 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 13 Cose oggi date per scontate 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 14 La figura dell'hacker ● Alla base ci sono passione e profonde competenze (al di la di come poi queste vengano utilizzate) ● Vi è una forte base etica ● Vi è un ideale ● La condivisione è strumento di crescita personale e di gruppo 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 15 The Hacker Manifesto ● Il Manifesto Hacker di The Mentor, scritto l'8 gennaio 1986, viene pubblicato nell'uscita 7 di Phrack 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 16 La figura del cracker ● ● ● ● ● La figura dell'hacker è rovinata da quella del cracker Se da una parte può condividerne le competenze, dall'altra non ne condivide ne l'etica ne gli ideali Spesse volte non ha le competenze dell'hacker, ma fa uso di ciò che questo condivide Può essere spinto da svariate motivazioni, fra cui gli interessi economici e l'affermazione personale Nasce la “moda” del defacement 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 17 Il defacement come strumento di affermazione 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 18 La necessità della sicurezza informatica ● ● Internet non è molto diffusa, ma esiste già la necessità di tenere al sicuro informazioni di grandi imprese, governi, militari o bancarie I primi “esperti di sicurezza informatica” sono gli stessi hacker 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 19 Famous black and white hat wearers Mr. Kevin Mitnik 24 febbraio 2015 Andrea Zwirner – Linkspirit Mr. Tsutomu Shimomura Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 20 L'hacker come esperto di sicurezza informatica ● ● ● Le verifiche di sicurezza sono effettuate da hacker, che trasformano in lavoro la loro passione Siamo ai tempi dell'artigianato della sicurezza informatica – Scrittura ed adattamento di codice ad-hoc – Modalità di lavoro elegante e raffinata Strumenti e metodologie dell'hacking sono utilizzati per fronteggiare gli attacchi informatici 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 21 L'evoluzione della minaccia ● ● Con la diffusione di Internet, il piatto cresce notevolmente ed i fini si diversificano – Frodi, truffe, ricatti, estorsioni, furti di identità, spionaggio industriale – Il ritorno economico è altissimo, sia lavorando su grandi numeri che su grandi lavori Non parliamo di hacking ne di cracking, ma di crimine informatico – Reati informatici – Reati compiuti attraverso lo strumento informatico 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 22 ed il degrado delle competenze ● La maggior parte degli attacchi non merita nemmeno di essere considerato hacking 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 23 La nascita dell'industria della sicurezza ● Ogni azienda ha qualcosa da proteggere – La richiesta del mercato cresce notevolmente ● L'offerta di artigiani scarseggia ● Le strategie di attacco sono di bassa qualità ● La sicurezza delle aziende è inesistente ● Un offerta a limitata qualità è più che sufficiente 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 24 La nascita dell'industria della sicurezza ● Standardizzazione ed automazione di procedure – ● ● Verifiche di sicurezza automatizzate Forte abbassamento della qualità nel servizio Inizialmente la situazione delle aziende è talmente grave che vi è comunque un miglioramento generale 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 25 Il modello di business ● Nascono aziende di sicurezza con due prerogative – Creare un reparto commerciale in grado di vendere test di sicurezza “al chilo” – Creare un reparto tecnico con le competenze per ● ● ● fare click sul pulsante avvia test stampare e rilegare il report automatico Scherzo, fino ad un certo punto 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 26 Un modello sostenibile? ● ● Sul lungo periodo però i nodi tornano al pettine – Grosse aziende sotto attacco vengono inesorabilmente violate – Retest (artigianali) di sistemi già testati (industrialmente) evidenziano diverse vulnerabilità All'orizzonte vi è di nuovo la necessità di persone competenti in materia 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 27 In tutto questo gli hacker si sono estinti? ● ● C'è stata una leggera tendenza a proteggere le competenze, proteggendone la diffusione In generale però sono dove sono sempre stati, hanno conservato la loro etica ed i loro ideali 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 28 Dove sono finiti gli hacker 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 29 Ma gli hacker si sono estinti? ● ● Non sono certo sufficienti a soddisfare la richiesta del mercato Attualmente chi ha un curriculum – anche non particolarmente guarnito – ha ottime opportunità di lavoro – la maggior parte delle quali all'estero (per ora) 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 30 Il progetto dell'università di Verona ● ● Affiancare agli insegnamenti accademici esercitazioni pratiche di effettiva utilità nel campo del lavoro Favorire l'apprendimento di strategie di difesa di software e sistemi inquadrando i problemi dal punto di vista offensivo 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 31 Laboratori di sicurezza ● ● ● ● Implementazione di un ambiente virtuale (contenitore) Fornisce un contesto di esecuzione a diverse famiglie di esercitazioni sulla sicurezza Fornisce apparati di rete, per il monitoraggio, host con diversi sistemi operativi ed il software su di essi installato Un contenitore viene istanziato all'avvio di ogni esercitazione e distrutto al termine 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 32 Laboratori di sicurezza ● ● ● Separa l'esercitazione dal resto del mondo, creando un ambiente controllato in cui “smanettare” in libertà. Dal punto di vista dell'utilizzo i contenitore è – Indipendente dagli esercizi – Di configurazione immediata La creazione e rilascio degli esercizi potrà essere effettuata da tutti, studenti compresi 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 33 Laboratorio di analisi dei sistemi ● ● Ha il fine di familiarizzare con gli strumenti di analisi successivamente utilizzati negli altri laboratori Esercizi su tematiche di debugging e test di sistemi in ambiente Windows, Linux e mobile (emulatori) – Esempi di debug – Analisi di file oggetto e disassemblaggio – Alterazione dello stato dei processi – Monitoraggio ed alterazione delle interazioni interprocesso 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 34 Laboratorio di codice malevolo ● ● Disponibilità di una rete di macchine virtuali (e fisiche) per l'esecuzione di malware Analisi delle attività del codice malevolo in esecuzione – Alterazioni dello stato del sistema compromesso – Traffico di rete generato 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 35 Laboratorio di sicurezza delle reti ● ● Disponibilità di una rete virtuale di macchine client, server ed appartati attivi, con sistemi operativi differenti Esercizi di dirottamento, intercettazione, analisi ed alterazione del traffico di rete ● Esercizi di rilevazione di anomalie del traffico di rete (IDS) ● Esercizi di analisi e verifica delle configurazioni di filtraggio ● Fingerprinting di sistemi e servizi, rilevazione di vulnerabilità ● Attacchi ARP spoofing e MITM 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 36 Laboratorio di sicurezza del software ● ● Esercizi su tematiche di protezione del software – Elusione di controlli di sicurezza (password, chiavi, licenze) – Elusione di sistemi di protezione della proprietà intellettuale Esercizi sulle specificità dell'ambiente mobile – ● Elusione dei sistemi di protezione di informazioni Esercizi su tematiche di vulnerabilità del software – Overflow del buffer – Applicazioni web 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 37 Sicurezza informatica La pratica della Sicurezza Informatica dall'artigianato all'industrializzazione Andrea Zwirner [email protected] @AndreaZwirner 24 febbraio 2015 Andrea Zwirner – Linkspirit Università degli Studi di Verona Presentazione del curriculum Sicurezza del Sistemi Informatici 38