Instant Messaging e Peer- to-Peer

Instant Messaging e Peerto-Peer
Postecom Security Service
Versione: 1.0
Roberto Ugolini – Security Service Unit – [email protected]
2
Security Service Unit
La Sicurezza è nel DNA dell’azienda Postecom…
ma la mappa è lungi dall’essere completata!
I servizi ed i prodotti offerti da Postecom “usufruiscono” di un framework di protezione
garantito, nelle varie fasi del ciclo di vita, dal rispetto di quanto previsto dal Sistema
Gestione Qualità e Sicurezza, certificato ISO 27001 (ex BS 7799)
Ma l’offerta di servizi legati alla Sicurezza può e deve anche comprendere
servizi a se stanti, che possono offrire un valore aggiunto, garantiti
dall’esperienza, affidabilità e credibilità del brand Gruppo Poste Italiane.
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
Security Service Unit: il modello
3
Assessment del Sistema di Gestione della Sicurezza delle Informazioni
– Gap Analysis – Definizione e Implementazione dell’SGSI
PIANIFICARE
Istituire il SGSI
Indicatori di Sicurezza
Analisi dei Rischi
Piano di Trattamento dei Rischi
Secure Development Life Cycle
Certificazione di sicurezza
Integrazione con strumenti crittografici
REALIZZARE
MIGLIORARE
Attuare e
operare il
SGSI
Mantenere e
migliorare il
SGSI
CONTROLLARE
Monitorare e
riesaminare il SGSI
Analisi di Vulnerabilità/Penetration Test – Audit ISO 27001 – Osservatorio Tecnologico
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
4
Security Service Unit: i servizi (1/3)
Migliorare la sicurezza del codice prodotto ed erogato: software sicuro e penetration test,
due facce della stessa medaglia !
Secure Development Life Cycle
Il servizio, grazie all’esperienza acquisita
nel corso degli anni, combinata con
l’utilizzo di tools appositi per la static
analysis, permette di evidenziare, in alcuni
ambienti di programmazione, errori di
scrittura del codice che possono
compromettere la riservatezza, l’integrità e
la disponibilità delle informazioni trattate.
Il processo di vita del software
e le attività necessarie
(fonte IEEE)
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
Analisi di vulnerabilità / Penetration testing
Il servizio permette di evidenziare le vulnerabilità
sistemistiche ed applicative, classificandole nel
contesto ambientale e d’utilizzo, anche in
relazione alla tipologia di dati trattati
5
Security Service Unit: i servizi (2/3)
Dimostrare il livello di sicurezza per i sistemi di gestione ed i prodotti ICT:
le certificazioni di sicurezza !
Prodotti e sistemi ICT: ISO 15408 Common
Criteria
Una valutazione formale di sicurezza secondo
i Common Criteria permette di effettuare delle
verifiche delle funzionalità di sicurezza
richieste e, nel contempo, delle verifiche dei
requisiti di assurance, il tutto per il livello
scelto dal cliente.
Sistemi di Gestione per la Sicurezza delle
Informazioni: ISO 27001
Offrire un supporto ad un processo di finalizzato a
certificare e valutare la conformità ai requisiti del sistema
di gestione, ai requisiti delle normative di riferimento, alle
pianificazioni effettuate ed agli obiettivi definiti.
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
Security Service Unit: i servizi (3/3)
Anticipare i rischi derivanti dall’introduzione di nuove tecnologie e processi:
Osservatorio tecnologico sulla Sicurezza
Obiettivo: l’evidenziazione di nuovi trend nel campo della sicurezza
informatica, contestualizzati alla particolare realtà del cliente. Il servizio
consente di effettuare scelte “sicure” non solo nel breve ma anche nel
medio/lungo periodo e permette di anticipare i rischi imminenti. Il servizio
è svolto in collaborazione con realtà collegate al mondo della ricerca,
dell’innovazione e della formazione.
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
6
Osservatorio tecnologico
Esempi di argomenti:
€
Introduzione delle carte a microcircuito EMV
€
Servizi evoluti su piattoforme Mobile
€
Threats Management (gestione delle minacce)
€
Metodi di autenticazione basati su canali alternativi
€
Sicurezza nelle rete Voice over IP
€
Instant Messaging e Peer-to-Peer Networks
€
Sviluppo sicuro
€
Security Information and Event Management
€
Autenticazione biometrica
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
7
Instant Messaging e Peer-to-Peer
I programmi di IM e di P2P sono caratterizzati da un insieme di
funzionalità comuni … così come sono potenzialmente comuni l’insieme di
vulnerabilità a cui sono esposti!
I programmi di IM rappresentano una particolare categoria di sistemi P2P
Funzioni di comunicazione e di scambio dati immediatamente disponibili,
ma anche scambio di musica, film e giochi online collaborativi
Sono spesso considerati totalmente innocui, anche a seguito del fatto che
alcuni vengono installati direttamente con il sistema operativo
Le funzionalità di IM e dei sistemi P2P sono comunque interessanti per
una realtà aziendale
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
8
SANS Top-20 2007: Application Abuse
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
9
Reti Peer-to-Peer
In una rete P2P i nodi sono potenzialmente tutti connessi tra loro (SERVENT!)
Completamente decentralizzate (non strutturate, come Gnutella)
Semi-centralizzate (ibride, come Napster; con super-peer, come KaZaA)
Strutturate (che sfruttano il meccanismo DHT - Distributed Hash Table)
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
10
Reti Peer-to-Peer: applicazioni (1/2)
Condivisione file (es. Gnutella, eDonkey/eMule, KaZaA.)
Ma anche:
€
download distribuito (es. Bittorent)
€
storage distribuito (es. Freenet)
€
calcolo distribuito (Seti@home o Genome@home ?)
€
comunicazione e collaborazione real-time (es. IM quali Aol, Yahoo,
Msn, Jabber)
€
videoconferenza (es. Skype)
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
11
Known
Worms
Targeted by
Known Virus
Known
Buffer
Overflows
€
Anonymizer / TOR
BearShare
•
eDonkey
•
eMule
•
Gnucleus
•
•
Grokster
•
•
€
•
€
•
€
•
€
€
€
Hopster
Kazaa
•
LimeWire
•
Morpheus
•
Shareaza
•
€
•
€
•
€
•
•
€
•
•
Skype
Xolox
Altro
VoIP
12
IRC
Chat
Network
P2P
Reti Peer-to-Peer: applicazioni (2/2)
•
€
€
Direct Connect
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
€
•
€
•
€
€
•
•
Instant Messaging
Le architetture di IM sono basate su una classica architettura client-server
per inviare messaggi e contenuti
Il server gestisce la comunicazione fra i differenti client/utenti ed è gestito
direttamente dal fornitore del servizio di IM (Aol, Microsoft,…)
Il server non è solamente responsabile dell’invio di messaggi ai relativi
destinatari, ma anche responsabile dell’autenticazione degli utenti e della
verifica del loro stato (online o offline o altro)
I client non sono direttamente connessi fra loro, se non per specifiche
funzioni e per un tempo limitato (ad esempio trasferimento di file o
immagini)
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
13
Client principali di IM
Aol Instant Messenger, MSN Messenger, Yahoo! Messenger, ICQ, Skype,
Google Talks
Web based IM: Wablet, Click4Me, Ajax IM, NootMobile
Mobile IM: iFollow IM
Protocolli: SOCKS 4, SOCKS 5, HTTP, HTTPS
Occorre altresì considerare che per tutti i client di IM esistono dei servizi
web di accesso, pubblicamente disponibili
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
14
IM e P2P: principali porte utilizzate
15
fonte comScore Media Metrix, 2003
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
IM e P2P: problematiche di sicurezza
File-sharing mal configurato
Mancanza di integrazione con gli anti-virus
Comunicazioni non cifrate
Violazione del copyright
Social engineering
Rivelazione di indirizzi IP interni
Denial of service
Carenza dei log
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
16
IM e P2P: principali vulnerabilità
17
fonte comScore Media Metrix, 2003
Kwown Worms / Spyware: Skype
http://isc.sans.org/diary.html?storyid=3363
Remote Control: MSN http://isc.sans.org/diary.html?storyid=3326
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
IM e P2P: strategia per mitigare il rischio (1/3)
Prevenire i sistemi non corretti
€
Controllo del client
La più efficiente strategia di difesa è quella di monitorare i client,
impedendo l’installazione con sistemi simili come logica agli antivirus.
€
Controllo del traffico
Le soluzioni di rete sono sostanzialmente in grado di monitorare e
registrare il traffico della rete per individuare attività di P2P oppure di IM
ed eventualmente bloccarne l’utilizzo, in accordo a specifiche regole
Va comunque considerato che le recenti applicazioni di P2P sono
particolarmente difficili da bloccare. Le applicazioni, infatti, sono state
esplicitamente progettate per poter passare attraverso i firewall ed altri sistemi di
controllo di rete.
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
18
IM e P2P: controllo del traffico (1/2)
€
Es. MSN:
‚ Per bloccare il trasferimento di file basta bloccare tutte le
richieste in uscita ed in ingresso sulla porta TCP 6891
‚ Per bloccare tutte le richieste di audio e video chat è sufficiente
bloccare le porte UDP 13324 e 13325
‚ Per bloccare l’application sharing occorre bloccare la porta
1503
‚ Per disabilitare completamente MSN occorre negare l’accesso
ai server msgr.hotmail.com e sottodomini e bloccare la porta
TCP 1863
‚ Queste contromisure ovviamente sono sufficienti per bloccare
l’accesso alla rete MSN tramite i client, ma non tramite sistemi
web.
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
19
IM e P2P: controllo del traffico (2/2)
Nel corso del 2007, le soluzioni di rete si stanno orientando verso gli
“appliance“
La IDC ha stimato che nel 2008 l’80% delle soluzioni saranno baste su
appliance
Akonix, CSC, Surfcontrol, Symantec, Global Relay, ScanSafe
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
20
IM e P2P: strategia per mitigare il rischio (2/3)
Offrire un servizio “aziendale”
€
Dotare la propria rete aziendale di server di IM controllati, interni
all’azienda, anche se questo non impedirebbe alcuni problemi quali
il social engineering, la violazione del copyright ecc.
€
I sistemi P2P sono invece sconsigliati (anche interni all’azienda o
custom) per i seguenti motivi principali:
‚ lo scambio di file e le funzionalità di file sharing dei client di IM più che
sufficienti per i bisogni aziendali,
‚ i client P2P sono tendenzialmente incontrollabili dal punto di vista
dell’occupazione delle risorse di rete e del numero di client con i quali i
dati vengono condivisi
‚ le violazioni alla privacy dei dati aziendali e di copyright sono normali ed
sostanzialmente incontrollabili.
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
21
IM e P2P: strategia per mitigare il rischio (3/3)
Informare, comunicare, sensibilizzare!
€
Provvedimento generale del Garante del 10 marzo 2007
€
Definire e diffondere regole di comportamento che vietino, per
esempio, l’utilizzo di altri IM al di fuori di quello “aziendale”
€
Informare sui rischi legati all’utilizzo di IM (compreso quello
aziendale!)
Versione: 1.0 del 28/12/2007
Roberto Ugolini – Security Service Unit – [email protected]
22