Instant Messaging e Peer- to-Peer
Transcript
Instant Messaging e Peer- to-Peer
Instant Messaging e Peerto-Peer Postecom Security Service Versione: 1.0 Roberto Ugolini – Security Service Unit – [email protected] 2 Security Service Unit La Sicurezza è nel DNA dell’azienda Postecom… ma la mappa è lungi dall’essere completata! I servizi ed i prodotti offerti da Postecom “usufruiscono” di un framework di protezione garantito, nelle varie fasi del ciclo di vita, dal rispetto di quanto previsto dal Sistema Gestione Qualità e Sicurezza, certificato ISO 27001 (ex BS 7799) Ma l’offerta di servizi legati alla Sicurezza può e deve anche comprendere servizi a se stanti, che possono offrire un valore aggiunto, garantiti dall’esperienza, affidabilità e credibilità del brand Gruppo Poste Italiane. Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] Security Service Unit: il modello 3 Assessment del Sistema di Gestione della Sicurezza delle Informazioni – Gap Analysis – Definizione e Implementazione dell’SGSI PIANIFICARE Istituire il SGSI Indicatori di Sicurezza Analisi dei Rischi Piano di Trattamento dei Rischi Secure Development Life Cycle Certificazione di sicurezza Integrazione con strumenti crittografici REALIZZARE MIGLIORARE Attuare e operare il SGSI Mantenere e migliorare il SGSI CONTROLLARE Monitorare e riesaminare il SGSI Analisi di Vulnerabilità/Penetration Test – Audit ISO 27001 – Osservatorio Tecnologico Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 4 Security Service Unit: i servizi (1/3) Migliorare la sicurezza del codice prodotto ed erogato: software sicuro e penetration test, due facce della stessa medaglia ! Secure Development Life Cycle Il servizio, grazie all’esperienza acquisita nel corso degli anni, combinata con l’utilizzo di tools appositi per la static analysis, permette di evidenziare, in alcuni ambienti di programmazione, errori di scrittura del codice che possono compromettere la riservatezza, l’integrità e la disponibilità delle informazioni trattate. Il processo di vita del software e le attività necessarie (fonte IEEE) Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] Analisi di vulnerabilità / Penetration testing Il servizio permette di evidenziare le vulnerabilità sistemistiche ed applicative, classificandole nel contesto ambientale e d’utilizzo, anche in relazione alla tipologia di dati trattati 5 Security Service Unit: i servizi (2/3) Dimostrare il livello di sicurezza per i sistemi di gestione ed i prodotti ICT: le certificazioni di sicurezza ! Prodotti e sistemi ICT: ISO 15408 Common Criteria Una valutazione formale di sicurezza secondo i Common Criteria permette di effettuare delle verifiche delle funzionalità di sicurezza richieste e, nel contempo, delle verifiche dei requisiti di assurance, il tutto per il livello scelto dal cliente. Sistemi di Gestione per la Sicurezza delle Informazioni: ISO 27001 Offrire un supporto ad un processo di finalizzato a certificare e valutare la conformità ai requisiti del sistema di gestione, ai requisiti delle normative di riferimento, alle pianificazioni effettuate ed agli obiettivi definiti. Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] Security Service Unit: i servizi (3/3) Anticipare i rischi derivanti dall’introduzione di nuove tecnologie e processi: Osservatorio tecnologico sulla Sicurezza Obiettivo: l’evidenziazione di nuovi trend nel campo della sicurezza informatica, contestualizzati alla particolare realtà del cliente. Il servizio consente di effettuare scelte “sicure” non solo nel breve ma anche nel medio/lungo periodo e permette di anticipare i rischi imminenti. Il servizio è svolto in collaborazione con realtà collegate al mondo della ricerca, dell’innovazione e della formazione. Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 6 Osservatorio tecnologico Esempi di argomenti: € Introduzione delle carte a microcircuito EMV € Servizi evoluti su piattoforme Mobile € Threats Management (gestione delle minacce) € Metodi di autenticazione basati su canali alternativi € Sicurezza nelle rete Voice over IP € Instant Messaging e Peer-to-Peer Networks € Sviluppo sicuro € Security Information and Event Management € Autenticazione biometrica Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 7 Instant Messaging e Peer-to-Peer I programmi di IM e di P2P sono caratterizzati da un insieme di funzionalità comuni … così come sono potenzialmente comuni l’insieme di vulnerabilità a cui sono esposti! I programmi di IM rappresentano una particolare categoria di sistemi P2P Funzioni di comunicazione e di scambio dati immediatamente disponibili, ma anche scambio di musica, film e giochi online collaborativi Sono spesso considerati totalmente innocui, anche a seguito del fatto che alcuni vengono installati direttamente con il sistema operativo Le funzionalità di IM e dei sistemi P2P sono comunque interessanti per una realtà aziendale Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 8 SANS Top-20 2007: Application Abuse Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 9 Reti Peer-to-Peer In una rete P2P i nodi sono potenzialmente tutti connessi tra loro (SERVENT!) Completamente decentralizzate (non strutturate, come Gnutella) Semi-centralizzate (ibride, come Napster; con super-peer, come KaZaA) Strutturate (che sfruttano il meccanismo DHT - Distributed Hash Table) Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 10 Reti Peer-to-Peer: applicazioni (1/2) Condivisione file (es. Gnutella, eDonkey/eMule, KaZaA.) Ma anche: € download distribuito (es. Bittorent) € storage distribuito (es. Freenet) € calcolo distribuito (Seti@home o Genome@home ?) € comunicazione e collaborazione real-time (es. IM quali Aol, Yahoo, Msn, Jabber) € videoconferenza (es. Skype) Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 11 Known Worms Targeted by Known Virus Known Buffer Overflows € Anonymizer / TOR BearShare • eDonkey • eMule • Gnucleus • • Grokster • • € • € • € • € € € Hopster Kazaa • LimeWire • Morpheus • Shareaza • € • € • € • • € • • Skype Xolox Altro VoIP 12 IRC Chat Network P2P Reti Peer-to-Peer: applicazioni (2/2) • € € Direct Connect Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] € • € • € € • • Instant Messaging Le architetture di IM sono basate su una classica architettura client-server per inviare messaggi e contenuti Il server gestisce la comunicazione fra i differenti client/utenti ed è gestito direttamente dal fornitore del servizio di IM (Aol, Microsoft,…) Il server non è solamente responsabile dell’invio di messaggi ai relativi destinatari, ma anche responsabile dell’autenticazione degli utenti e della verifica del loro stato (online o offline o altro) I client non sono direttamente connessi fra loro, se non per specifiche funzioni e per un tempo limitato (ad esempio trasferimento di file o immagini) Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 13 Client principali di IM Aol Instant Messenger, MSN Messenger, Yahoo! Messenger, ICQ, Skype, Google Talks Web based IM: Wablet, Click4Me, Ajax IM, NootMobile Mobile IM: iFollow IM Protocolli: SOCKS 4, SOCKS 5, HTTP, HTTPS Occorre altresì considerare che per tutti i client di IM esistono dei servizi web di accesso, pubblicamente disponibili Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 14 IM e P2P: principali porte utilizzate 15 fonte comScore Media Metrix, 2003 Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] IM e P2P: problematiche di sicurezza File-sharing mal configurato Mancanza di integrazione con gli anti-virus Comunicazioni non cifrate Violazione del copyright Social engineering Rivelazione di indirizzi IP interni Denial of service Carenza dei log Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 16 IM e P2P: principali vulnerabilità 17 fonte comScore Media Metrix, 2003 Kwown Worms / Spyware: Skype http://isc.sans.org/diary.html?storyid=3363 Remote Control: MSN http://isc.sans.org/diary.html?storyid=3326 Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] IM e P2P: strategia per mitigare il rischio (1/3) Prevenire i sistemi non corretti € Controllo del client La più efficiente strategia di difesa è quella di monitorare i client, impedendo l’installazione con sistemi simili come logica agli antivirus. € Controllo del traffico Le soluzioni di rete sono sostanzialmente in grado di monitorare e registrare il traffico della rete per individuare attività di P2P oppure di IM ed eventualmente bloccarne l’utilizzo, in accordo a specifiche regole Va comunque considerato che le recenti applicazioni di P2P sono particolarmente difficili da bloccare. Le applicazioni, infatti, sono state esplicitamente progettate per poter passare attraverso i firewall ed altri sistemi di controllo di rete. Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 18 IM e P2P: controllo del traffico (1/2) € Es. MSN: ‚ Per bloccare il trasferimento di file basta bloccare tutte le richieste in uscita ed in ingresso sulla porta TCP 6891 ‚ Per bloccare tutte le richieste di audio e video chat è sufficiente bloccare le porte UDP 13324 e 13325 ‚ Per bloccare l’application sharing occorre bloccare la porta 1503 ‚ Per disabilitare completamente MSN occorre negare l’accesso ai server msgr.hotmail.com e sottodomini e bloccare la porta TCP 1863 ‚ Queste contromisure ovviamente sono sufficienti per bloccare l’accesso alla rete MSN tramite i client, ma non tramite sistemi web. Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 19 IM e P2P: controllo del traffico (2/2) Nel corso del 2007, le soluzioni di rete si stanno orientando verso gli “appliance“ La IDC ha stimato che nel 2008 l’80% delle soluzioni saranno baste su appliance Akonix, CSC, Surfcontrol, Symantec, Global Relay, ScanSafe Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 20 IM e P2P: strategia per mitigare il rischio (2/3) Offrire un servizio “aziendale” € Dotare la propria rete aziendale di server di IM controllati, interni all’azienda, anche se questo non impedirebbe alcuni problemi quali il social engineering, la violazione del copyright ecc. € I sistemi P2P sono invece sconsigliati (anche interni all’azienda o custom) per i seguenti motivi principali: ‚ lo scambio di file e le funzionalità di file sharing dei client di IM più che sufficienti per i bisogni aziendali, ‚ i client P2P sono tendenzialmente incontrollabili dal punto di vista dell’occupazione delle risorse di rete e del numero di client con i quali i dati vengono condivisi ‚ le violazioni alla privacy dei dati aziendali e di copyright sono normali ed sostanzialmente incontrollabili. Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 21 IM e P2P: strategia per mitigare il rischio (3/3) Informare, comunicare, sensibilizzare! € Provvedimento generale del Garante del 10 marzo 2007 € Definire e diffondere regole di comportamento che vietino, per esempio, l’utilizzo di altri IM al di fuori di quello “aziendale” € Informare sui rischi legati all’utilizzo di IM (compreso quello aziendale!) Versione: 1.0 del 28/12/2007 Roberto Ugolini – Security Service Unit – [email protected] 22