Sicurezza degli utenti sul World Wide Web - PRA Lab
Transcript
Sicurezza degli utenti sul World Wide Web - PRA Lab
Sicurezza degli utenti sul World Wide Web Sicurezza degli utenti sul World Wide Web Igino Corona Pattern Recognition and Applications Group Dipartimento di Ingegneria Elettrica ed Elettronica Università di Cagliari 13 Febbraio 2014 Seminario di Sicurezza Informatica Corso di Laurea in Ingegneria Elettronica Corsi di Laurea Magistrale in Ingegneria Elettronica ed Ingegneria delle Telecomunicazioni Corso di Dottorato di Ricerca in Ingegneria Elettronica ed Informatica Sicurezza degli utenti sul World Wide Web Web browser Web browser una delle applicazioni più utilizzate per l’accesso e la condivisione di informazioni tramite Internet Sicurezza degli utenti sul World Wide Web Web browser Web browser una delle applicazioni più utilizzate per l’accesso e la condivisione di informazioni tramite Internet un client HTTP/HTTPS, che interpreta e presenta un’ampia varietà di contenuti (pagine HTML, immagini, video, audio, etc.) Sicurezza degli utenti sul World Wide Web Web browser Web browser una delle applicazioni più utilizzate per l’accesso e la condivisione di informazioni tramite Internet un client HTTP/HTTPS, che interpreta e presenta un’ampia varietà di contenuti (pagine HTML, immagini, video, audio, etc.) attualmente tipica vittima di attacchi informatici da parte di organizzazioni criminali Sicurezza degli utenti sul World Wide Web Web browser Funzionamento base Come funziona un web browser? invia/riceve messaggi Hyper Text Transfer Protocol - HTTP verso/da un server Sicurezza degli utenti sul World Wide Web Web browser Funzionamento base Come funziona un web browser? invia/riceve messaggi Hyper Text Transfer Protocol - HTTP verso/da un server i messaggi inviati dal browser contengono informazioni riguardo l’utente, il browser, la richiesta effettuata dall’utente Sicurezza degli utenti sul World Wide Web Web browser Funzionamento base Come funziona un web browser? invia/riceve messaggi Hyper Text Transfer Protocol - HTTP verso/da un server i messaggi inviati dal browser contengono informazioni riguardo l’utente, il browser, la richiesta effettuata dall’utente i messaggi ricevuti dal browser contengono la risorsa richiesta, informazioni su tale risorsa e informazioni riguardanti il server web Sicurezza degli utenti sul World Wide Web Web browser Funzionamento base Come funziona un web browser? invia/riceve messaggi Hyper Text Transfer Protocol - HTTP verso/da un server i messaggi inviati dal browser contengono informazioni riguardo l’utente, il browser, la richiesta effettuata dall’utente i messaggi ricevuti dal browser contengono la risorsa richiesta, informazioni su tale risorsa e informazioni riguardanti il server web il browser interpreta e presenta la risorsa restituita dal server Sicurezza degli utenti sul World Wide Web Web browser Funzionamento base Come funziona un web browser? invia/riceve messaggi Hyper Text Transfer Protocol - HTTP verso/da un server i messaggi inviati dal browser contengono informazioni riguardo l’utente, il browser, la richiesta effettuata dall’utente i messaggi ricevuti dal browser contengono la risorsa richiesta, informazioni su tale risorsa e informazioni riguardanti il server web il browser interpreta e presenta la risorsa restituita dal server la risorsa tipica è una pagina HTML o un’immagine, tuttavia i moderni browser sono in grado di gestire molte altre altre risorse attraverso i cosiddetti plugin, come Adobe Flash Player o interprete Java. Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Sicurezza dei dati in transito uno qualsiasi dei dispositivi coinvolti nel trasporto (switch, hub, router, etc.) può potenzialmente visualizzare e modificare i messaggi HTTP Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Sicurezza dei dati in transito uno qualsiasi dei dispositivi coinvolti nel trasporto (switch, hub, router, etc.) può potenzialmente visualizzare e modificare i messaggi HTTP vediamo subito un esempio pratico di come questo possa avvenire all’ interno della nostra rete locale: Hijacking attack Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Sicurezza dei dati in transito uno qualsiasi dei dispositivi coinvolti nel trasporto (switch, hub, router, etc.) può potenzialmente visualizzare e modificare i messaggi HTTP vediamo subito un esempio pratico di come questo possa avvenire all’ interno della nostra rete locale: Hijacking attack attenzione: tale operazione è illegale se effettuata senza autorizzazione degli utenti e dell’amministratore della rete locale Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Hijacking attack sulla rete locale Il computer della nostra vittima si trova sulla nostra stessa rete locale Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Hijacking attack sulla rete locale Il computer della nostra vittima si trova sulla nostra stessa rete locale Vogliamo fare in modo che tutto il traffico da e per il computer vittima attraversi il nostro computer (dirottamento) Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Hijacking attack sulla rete locale Il computer della nostra vittima si trova sulla nostra stessa rete locale Vogliamo fare in modo che tutto il traffico da e per il computer vittima attraversi il nostro computer (dirottamento) In questo modo possiamo visualizzare e potenzialmente modificare il traffico da e per il computer vittima Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Hijacking attack sulla rete locale Il computer della nostra vittima si trova sulla nostra stessa rete locale Vogliamo fare in modo che tutto il traffico da e per il computer vittima attraversi il nostro computer (dirottamento) In questo modo possiamo visualizzare e potenzialmente modificare il traffico da e per il computer vittima Utilizzeremo i seguenti strumenti: nmap, arpspoof, dnsspoof Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Hijacking attack sulla rete locale Il computer della nostra vittima si trova sulla nostra stessa rete locale Vogliamo fare in modo che tutto il traffico da e per il computer vittima attraversi il nostro computer (dirottamento) In questo modo possiamo visualizzare e potenzialmente modificare il traffico da e per il computer vittima Utilizzeremo i seguenti strumenti: nmap, arpspoof, dnsspoof Tali strumenti sono nei repository ufficiali di Ubuntu e installabili tramite apt-get Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Hijacking attack sulla rete locale - tecnica Facciamo una scansione degli host attivi sulla rete locale, per identificare il gateway e scegliere un host vittima Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Hijacking attack sulla rete locale - tecnica Facciamo una scansione degli host attivi sulla rete locale, per identificare il gateway e scegliere un host vittima Ci inseriamo tra host e gateway tramite ARP spoofing osserviamo passivamente il traffico e inoltriamo i pacchetti alla giusta destinazione: la vittima non si accorge di nulla Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Hijacking attack sulla rete locale - tecnica Facciamo una scansione degli host attivi sulla rete locale, per identificare il gateway e scegliere un host vittima Ci inseriamo tra host e gateway tramite ARP spoofing osserviamo passivamente il traffico e inoltriamo i pacchetti alla giusta destinazione: la vittima non si accorge di nulla Usiamo dnsspoof per restituire alla vittima delle associazioni tra nome di dominio e indirizzo IP a nostro piacimento Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 1 - scansione Facciamo una scansione furtiva tramite SYN dei computer sulla rete locale: si manda un SYN su una porta oltre la 1024 nmap -sS 172.16.255.0/24 -p 50000 Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 1 - scansione Facciamo una scansione furtiva tramite SYN dei computer sulla rete locale: si manda un SYN su una porta oltre la 1024 nmap -sS 172.16.255.0/24 -p 50000 tale scansione dovrebbe portare alla scoperta di vari host, fra cui l’ host che scegliamo come vittima, di IP 172.16.255.X e del gateway di IP 172.16.0.1 Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 2 - abilitare l’inoltro dei pacchetti sysctl -w net.ipv4.ip_forward=1 Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 2 - abilitare l’inoltro dei pacchetti sysctl -w net.ipv4.ip_forward=1 iptables -I FORWARD 1 -j ACCEPT Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 2 - abilitare l’inoltro dei pacchetti sysctl -w net.ipv4.ip_forward=1 iptables -I FORWARD 1 -j ACCEPT ora il nostro computer funge da hub! Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 2 - abilitare l’inoltro dei pacchetti sysctl -w net.ipv4.ip_forward=1 iptables -I FORWARD 1 -j ACCEPT ora il nostro computer funge da hub! Fase 3 - arp spoofing a questo punto inviamo dei pacchetti ARP reply all’host che associano l’indirizzo MAC del nostro computer con l’IP del gateway (dirottiamo i pacchetti spediti dall’host vittima verso il nostro computer) arpspoof -i wlan0 -t 172.16.0.1 172.16.255.X Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 2 - abilitare l’inoltro dei pacchetti sysctl -w net.ipv4.ip_forward=1 iptables -I FORWARD 1 -j ACCEPT ora il nostro computer funge da hub! Fase 3 - arp spoofing a questo punto inviamo dei pacchetti ARP reply all’host che associano l’indirizzo MAC del nostro computer con l’IP del gateway (dirottiamo i pacchetti spediti dall’host vittima verso il nostro computer) arpspoof -i wlan0 -t 172.16.0.1 172.16.255.X e tutti i pacchetti che il gateway invia all’host arpspoof -i wlan0 -t 172.16.255.X 172.16.0.1 Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 2 - abilitare l’inoltro dei pacchetti sysctl -w net.ipv4.ip_forward=1 iptables -I FORWARD 1 -j ACCEPT ora il nostro computer funge da hub! Fase 3 - arp spoofing a questo punto inviamo dei pacchetti ARP reply all’host che associano l’indirizzo MAC del nostro computer con l’IP del gateway (dirottiamo i pacchetti spediti dall’host vittima verso il nostro computer) arpspoof -i wlan0 -t 172.16.0.1 172.16.255.X e tutti i pacchetti che il gateway invia all’host arpspoof -i wlan0 -t 172.16.255.X 172.16.0.1 ORA abbiamo dirottato la connessione, senza che la vittima ne sia al corrente, perché può comunicare senza problemi con l’esterno. Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 4 - DNS spoofing Come esempio gioco, lanciamo dnsspoof per forgiare risposte DNS fasulle (N.B. potrei anche modificare direttamente il traffico da e verso la vittima) dnsspoof -i wlan0 -f ftable udp dst port 53 Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 4 - DNS spoofing Come esempio gioco, lanciamo dnsspoof per forgiare risposte DNS fasulle (N.B. potrei anche modificare direttamente il traffico da e verso la vittima) dnsspoof -i wlan0 -f ftable udp dst port 53 dove ftable è un file di testo contenente la riga 192.167.131.61 www.microsoft.com Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Fase 4 - DNS spoofing Come esempio gioco, lanciamo dnsspoof per forgiare risposte DNS fasulle (N.B. potrei anche modificare direttamente il traffico da e verso la vittima) dnsspoof -i wlan0 -f ftable udp dst port 53 dove ftable è un file di testo contenente la riga 192.167.131.61 www.microsoft.com che associa l’ indirizzo IP di prag.diee.unica.it col nome www.microsoft.com! Quando la vittima cercherà di connettersi sul sito di microsoft, verrà rediretto sul sito del nostro gruppo di ricerca. . . Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Alcuni esempi di minacce REALI? Un criminale potrebbe redirigere l’utente su un sito di sua scelta, per ad es. presentare una pagina esattamente uguale a quella attesa dall’utente (phishing), con l’abilità di collezionare informazioni confidenziali (es. login, password) NOTA: gli script/contenuti attivi verrebbero eseguiti con i privilegi del sito target (questo è sempre vero se non esiste/si scavalca l’autenticazione del server) Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale Alcuni esempi di minacce REALI? Un criminale potrebbe redirigere l’utente su un sito di sua scelta, per ad es. presentare una pagina esattamente uguale a quella attesa dall’utente (phishing), con l’abilità di collezionare informazioni confidenziali (es. login, password) NOTA: gli script/contenuti attivi verrebbero eseguiti con i privilegi del sito target (questo è sempre vero se non esiste/si scavalca l’autenticazione del server) Installare malware generico, attraverso windows update (sì avete capito bene) Es. sfruttando la possibilià di firmare certificati a nome di Microsoft (come fatto dal malware Flamer): http://www.symantec.com/connect/blogs/ w32flamer-leveraging-microsoft-digital-certificates Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale - soluzioni Come rilevare l’ARP spoofing? ad esempio, tramite arpwatch, installabile tramite apt-get Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale - soluzioni Come rilevare l’ARP spoofing? ad esempio, tramite arpwatch, installabile tramite apt-get Segnala eventuali variazioni tra l’associazione di indirizzo MAC e indirizzo IP nella rete locale può spedire segnalazioni via e-mail Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale - soluzioni Come rilevare l’ARP spoofing? ad esempio, tramite arpwatch, installabile tramite apt-get Segnala eventuali variazioni tra l’associazione di indirizzo MAC e indirizzo IP nella rete locale può spedire segnalazioni via e-mail utile solo se gli IP sono assegnati in maniera statica! In caso contrario, ci sarebbero molti falsi allarmi, perché l’assegnazione dinamica di indirizzi IP prevede spesso associazioni diverse tra indirizzo MAC e IP Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale - soluzioni Come proteggersi dall’Hijacking, in generale? meccanismi di crittografia dei dati e autenticazione del server Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale - soluzioni Come proteggersi dall’Hijacking, in generale? meccanismi di crittografia dei dati e autenticazione del server HTTPS → i messaggi HTTP viaggiano attraverso un tunnel cifrato (es. secondo protocollo Transport Layer Security - TLS o Secure Sockets Layer - SSL), per garantirne l’integrità e la confidenzialità. TLS e SSL gestiscono anche l’autenticazione del server, attraverso una Certificate Authority Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale - soluzioni Come proteggersi dall’Hijacking, in generale? meccanismi di crittografia dei dati e autenticazione del server HTTPS → i messaggi HTTP viaggiano attraverso un tunnel cifrato (es. secondo protocollo Transport Layer Security - TLS o Secure Sockets Layer - SSL), per garantirne l’integrità e la confidenzialità. TLS e SSL gestiscono anche l’autenticazione del server, attraverso una Certificate Authority un attacco come il precedente funziona comunque, ma l’attaccante non è normalmente in grado di leggere/modificare i dati presenti nel tunnel TLS/SSL, a meno che. . . Sicurezza degli utenti sul World Wide Web Sicurezza dei dati in transito Hijacking attack sulla rete locale - soluzioni Sicurezza degli utenti sul World Wide Web Scelta e configurazione del browser Alcuni criteri per la valutazione della sicurezza di un browser Protezione della privacy dell’utente sul Web Sicurezza degli utenti sul World Wide Web Scelta e configurazione del browser Alcuni criteri per la valutazione della sicurezza di un browser Protezione della privacy dell’utente sul Web Protezione da attacchi informatici eseguiti da remoto Sicurezza degli utenti sul World Wide Web Scelta e configurazione del browser Alcuni criteri per la valutazione della sicurezza di un browser Protezione della privacy dell’utente sul Web Protezione da attacchi informatici eseguiti da remoto Rapidità nell’individuazione di bug e applicazione di patch correttive Sicurezza degli utenti sul World Wide Web Scelta e configurazione del browser Mozilla Firefox: flessibilità a supporto della sicurezza Firefox Attualmente, Mozilla Firefox è probabilmente il browser più estendibile attraverso i cosiddetti add_on tali “personalizzazioni” possono fornire un supporto notevole per la privacy dell’utente e la protezione da attacchi remoti Sicurezza degli utenti sul World Wide Web Scelta e configurazione del browser Mozilla Firefox: flessibilità a supporto della sicurezza Firefox Attualmente, Mozilla Firefox è probabilmente il browser più estendibile attraverso i cosiddetti add_on tali “personalizzazioni” possono fornire un supporto notevole per la privacy dell’utente e la protezione da attacchi remoti Firefox è open-source, e gode di un’enorme comunità di sviluppatori/utenti: ciò permette una rapida individuazione e correzione dei bug Sicurezza degli utenti sul World Wide Web Scelta e configurazione del browser Mozilla Firefox: flessibilità a supporto della sicurezza Aspetti chiave È difficile affermare che nella configurazione base Firefox offra più garanzie dei suoi concorrenti, come Internet Explorer, Chrome o Safari Sicurezza degli utenti sul World Wide Web Scelta e configurazione del browser Mozilla Firefox: flessibilità a supporto della sicurezza Aspetti chiave È difficile affermare che nella configurazione base Firefox offra più garanzie dei suoi concorrenti, come Internet Explorer, Chrome o Safari Tuttavia, la possibilità di personalizzarne il comportamento è un aspetto che permette di rafforzarlo notevolmente dal punto di vista della sicurezza Sicurezza degli utenti sul World Wide Web Firefox Sicurezza e privacy, ma NON nella configurazione base Configurazione base di Firefox: problemi Problemi di Privacy cookies accettati da parte di qualsiasi sito (compresi quelli di terze parti) e mantenuti per tutta la loro durata header referer l’opzione “avvia navigazione anonima” è fuorviante Google safebrowsing è utile ma può costituire una minaccia alla privacy Sicurezza degli utenti sul World Wide Web Firefox Sicurezza e privacy, ma NON nella configurazione base Configurazione base di Firefox: problemi Problemi di Privacy cookies accettati da parte di qualsiasi sito (compresi quelli di terze parti) e mantenuti per tutta la loro durata header referer l’opzione “avvia navigazione anonima” è fuorviante Google safebrowsing è utile ma può costituire una minaccia alla privacy Protezione da attacchi informatici eseguiti da remoto user agent fin troppo descrittivo javascript attivo per qualsiasi sito flash plugin attivo per qualsiasi sito Sicurezza degli utenti sul World Wide Web Firefox Sicurezza e privacy, ma NON nella configurazione base Configurazione base di Firefox: problemi Problemi di Privacy cookies accettati da parte di qualsiasi sito (compresi quelli di terze parti) e mantenuti per tutta la loro durata header referer l’opzione “avvia navigazione anonima” è fuorviante Google safebrowsing è utile ma può costituire una minaccia alla privacy Protezione da attacchi informatici eseguiti da remoto user agent fin troppo descrittivo javascript attivo per qualsiasi sito flash plugin attivo per qualsiasi sito Il modo più semplice di visualizzare ciò che il nostro browser invia verso l’esterno è utilizzare wireshark Sicurezza degli utenti sul World Wide Web Firefox Sicurezza e privacy, ma NON nella configurazione base Sicurezza degli utenti sul World Wide Web Firefox Sicurezza e privacy, ma NON nella configurazione base Cos’è Google safebrowsing? è un servizio fornito da Google, che verifica se un sito può costituire una minaccia alla sicurezza degli utenti sul web Sicurezza degli utenti sul World Wide Web Firefox Sicurezza e privacy, ma NON nella configurazione base Cos’è Google safebrowsing? è un servizio fornito da Google, che verifica se un sito può costituire una minaccia alla sicurezza degli utenti sul web Firefox (come anche Safari) utilizza tale servizio in maniera trasparente all’utente Il servizio è offerto anche tramite interfaccia web: http://www.google.com/safebrowsing/ diagnostic?site=www.diee.unica.it (cambiare il valore di site per un report relativo ad altri siti) Sicurezza degli utenti sul World Wide Web Firefox Sicurezza e privacy, ma NON nella configurazione base Cos’è Google safebrowsing? è un servizio fornito da Google, che verifica se un sito può costituire una minaccia alla sicurezza degli utenti sul web Firefox (come anche Safari) utilizza tale servizio in maniera trasparente all’utente Il servizio è offerto anche tramite interfaccia web: http://www.google.com/safebrowsing/ diagnostic?site=www.diee.unica.it (cambiare il valore di site per un report relativo ad altri siti) Come esempio curioso (e ricorsivo), andate su http://www.google.com/safebrowsing/ diagnostic?site=www.google.com Sicurezza degli utenti sul World Wide Web Firefox Sicurezza e privacy, ma NON nella configurazione base Sicurezza degli utenti sul World Wide Web Firefox Privacy Disabilitare l’header referer in Firefox digitate about:config nella barra URL e promettete di fare attenzione Sicurezza degli utenti sul World Wide Web Firefox Privacy Disabilitare l’header referer in Firefox digitate about:config nella barra URL e promettete di fare attenzione digitate network.http.send nel filtro Sicurezza degli utenti sul World Wide Web Firefox Privacy Disabilitare l’header referer in Firefox digitate about:config nella barra URL e promettete di fare attenzione digitate network.http.send nel filtro doppio click su network.http.sendRefererHeader e impostiamo il valore a 0 Sicurezza degli utenti sul World Wide Web Firefox Privacy Sicurezza degli utenti sul World Wide Web Firefox Privacy Sicurezza degli utenti sul World Wide Web Firefox Privacy caratteristiche di Cookie Monster È utile per gestire facilmente i cookie Sicurezza degli utenti sul World Wide Web Firefox Privacy caratteristiche di Cookie Monster È utile per gestire facilmente i cookie Particolarmente comodo per chi vuole che i cookie vengano normalmente rifiutati (la cosa migliore, dal punto di vista della Privacy) Sicurezza degli utenti sul World Wide Web Firefox Privacy caratteristiche di Cookie Monster È utile per gestire facilmente i cookie Particolarmente comodo per chi vuole che i cookie vengano normalmente rifiutati (la cosa migliore, dal punto di vista della Privacy) Può considerare anche solo i nomi di dominio di secondo livello per gestire i cookie Sicurezza degli utenti sul World Wide Web Firefox Privacy caratteristiche di Cookie Monster È utile per gestire facilmente i cookie Particolarmente comodo per chi vuole che i cookie vengano normalmente rifiutati (la cosa migliore, dal punto di vista della Privacy) Può considerare anche solo i nomi di dominio di secondo livello per gestire i cookie https://addons.mozilla.org/it/ firefox/addon/4703/ Sicurezza degli utenti sul World Wide Web Firefox Privacy Navigazione anonima Il supporto ideale per la navigazione anonima è The Onion Routing - TOR e Polipo (caching web proxy) https://help.ubuntu.com/community/Tor Sicurezza degli utenti sul World Wide Web Firefox Privacy Navigazione anonima Il supporto ideale per la navigazione anonima è The Onion Routing - TOR e Polipo (caching web proxy) https://help.ubuntu.com/community/Tor È difficile risalire all’indirizzo IP dei client web che navigano attraverso la rete TOR, che garantisce anche la confidenzialità del traffico Sicurezza degli utenti sul World Wide Web Firefox Privacy Navigazione anonima Il supporto ideale per la navigazione anonima è The Onion Routing - TOR e Polipo (caching web proxy) https://help.ubuntu.com/community/Tor È difficile risalire all’indirizzo IP dei client web che navigano attraverso la rete TOR, che garantisce anche la confidenzialità del traffico http://www.torproject.org/overview.html.en Sicurezza degli utenti sul World Wide Web Firefox Privacy Navigazione anonima Il supporto ideale per la navigazione anonima è The Onion Routing - TOR e Polipo (caching web proxy) https://help.ubuntu.com/community/Tor È difficile risalire all’indirizzo IP dei client web che navigano attraverso la rete TOR, che garantisce anche la confidenzialità del traffico http://www.torproject.org/overview.html.en Esiste l’ add-on Torbutton per Firefox che gestisce facilmente la navigazione anonima tramite TOR https://www.torproject.org/torbutton/. Ma ora è raccomandata una versione di firefox appositamente creata per navigare tramite TOR (https://www. torproject.org/projects/torbrowser.html.en). Sicurezza degli utenti sul World Wide Web Firefox Privacy Sicurezza degli utenti sul World Wide Web Firefox Privacy Sicurezza degli utenti sul World Wide Web Firefox Privacy Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Come proteggersi da attacchi remoti? Alcune opzioni semplici e efficaci Disabilitare l’esecuzione di script attivi/programmi lato client: es. Javascript, Java, etc. Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Come proteggersi da attacchi remoti? Alcune opzioni semplici e efficaci Disabilitare l’esecuzione di script attivi/programmi lato client: es. Javascript, Java, etc. Disabilitare Plugin, es. Adobe Flash Player/Reader etc. Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Come proteggersi da attacchi remoti? Alcune opzioni semplici e efficaci Disabilitare l’esecuzione di script attivi/programmi lato client: es. Javascript, Java, etc. Disabilitare Plugin, es. Adobe Flash Player/Reader etc. Modificare la User-Agent string: offre troppe informazioni utili ad un attaccante Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Come proteggersi da attacchi remoti? Alcune opzioni semplici e efficaci Disabilitare l’esecuzione di script attivi/programmi lato client: es. Javascript, Java, etc. Disabilitare Plugin, es. Adobe Flash Player/Reader etc. Modificare la User-Agent string: offre troppe informazioni utili ad un attaccante Bloccare il caricamento automatico delle immagini Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Come proteggersi da attacchi remoti? Alcune opzioni semplici e efficaci Disabilitare l’esecuzione di script attivi/programmi lato client: es. Javascript, Java, etc. Disabilitare Plugin, es. Adobe Flash Player/Reader etc. Modificare la User-Agent string: offre troppe informazioni utili ad un attaccante Bloccare il caricamento automatico delle immagini Bloccare il reindirizzamento automatico Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di User-Agent Switcher L’installazione base di Firefox prevede l’invio di informazioni di dettaglio su browser, lingua e sistema operativo tramite l’header User-Agent Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di User-Agent Switcher L’installazione base di Firefox prevede l’invio di informazioni di dettaglio su browser, lingua e sistema operativo tramite l’header User-Agent User Agent Switcher gestisce facilmente lo “spoofing” di questo header https://addons. mozilla.org/en-US/firefox/addon/59/ Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di User-Agent Switcher L’installazione base di Firefox prevede l’invio di informazioni di dettaglio su browser, lingua e sistema operativo tramite l’header User-Agent User Agent Switcher gestisce facilmente lo “spoofing” di questo header https://addons. mozilla.org/en-US/firefox/addon/59/ Perché è utile? Spesso gli script di attacco si basano sulla stringa User-Agent per scegliere che istanza di attacco utilizzare Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di User-Agent Switcher L’installazione base di Firefox prevede l’invio di informazioni di dettaglio su browser, lingua e sistema operativo tramite l’header User-Agent User Agent Switcher gestisce facilmente lo “spoofing” di questo header https://addons. mozilla.org/en-US/firefox/addon/59/ Perché è utile? Spesso gli script di attacco si basano sulla stringa User-Agent per scegliere che istanza di attacco utilizzare D’altronde la maggior parte dei browser (fra cui Firefox) spedisce puntualmente la propria versione e il sistema operativo sul quale è in esecuzione Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di User-Agent Switcher L’installazione base di Firefox prevede l’invio di informazioni di dettaglio su browser, lingua e sistema operativo tramite l’header User-Agent User Agent Switcher gestisce facilmente lo “spoofing” di questo header https://addons. mozilla.org/en-US/firefox/addon/59/ Perché è utile? Spesso gli script di attacco si basano sulla stringa User-Agent per scegliere che istanza di attacco utilizzare D’altronde la maggior parte dei browser (fra cui Firefox) spedisce puntualmente la propria versione e il sistema operativo sul quale è in esecuzione E’ comunque più semplice agire direttamente sulla configurazione di Firefox, con l’aggiunta del campo general.useragent.override Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di NoScript Permette l’esecuzione di codice Javascript, e abilita i plugin del browser solo su siti considerati fidati Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di NoScript Permette l’esecuzione di codice Javascript, e abilita i plugin del browser solo su siti considerati fidati L’approccio basato su whitelist è efficace e al tempo stesso facile da gestire attraverso il browser Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di NoScript Permette l’esecuzione di codice Javascript, e abilita i plugin del browser solo su siti considerati fidati L’approccio basato su whitelist è efficace e al tempo stesso facile da gestire attraverso il browser La configurazione predefinita blocca l’esecuzione di codice lato client su tutti i siti Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di NoScript Permette l’esecuzione di codice Javascript, e abilita i plugin del browser solo su siti considerati fidati L’approccio basato su whitelist è efficace e al tempo stesso facile da gestire attraverso il browser La configurazione predefinita blocca l’esecuzione di codice lato client su tutti i siti Gestisce numerose opzioni utili, come quella di considerare in whitelist solo siti che offrono un certificato valido tramite HTTPS (sfuggendo ad attacchi come DNS Hijacking) Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di NoScript Permette l’esecuzione di codice Javascript, e abilita i plugin del browser solo su siti considerati fidati L’approccio basato su whitelist è efficace e al tempo stesso facile da gestire attraverso il browser La configurazione predefinita blocca l’esecuzione di codice lato client su tutti i siti Gestisce numerose opzioni utili, come quella di considerare in whitelist solo siti che offrono un certificato valido tramite HTTPS (sfuggendo ad attacchi come DNS Hijacking) http://noscript.net (ottima sezione FAQ) Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di Better Privacy Permette la rimozione di Flash-cookies (Local Shared Objects, LSO) Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di Better Privacy Permette la rimozione di Flash-cookies (Local Shared Objects, LSO) Tali oggetti non verrebbero mai cancellati dal browser! Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di Better Privacy Permette la rimozione di Flash-cookies (Local Shared Objects, LSO) Tali oggetti non verrebbero mai cancellati dal browser! Sembra che molte compagnie utilizzino tali cookie per tracciare (silenziosamente) il comportamento degli utenti sul Web Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di Better Privacy Permette la rimozione di Flash-cookies (Local Shared Objects, LSO) Tali oggetti non verrebbero mai cancellati dal browser! Sembra che molte compagnie utilizzino tali cookie per tracciare (silenziosamente) il comportamento degli utenti sul Web Questo add-on rimuove tali oggetti ad ogni chiusura di Firefox Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi caratteristiche di Better Privacy Permette la rimozione di Flash-cookies (Local Shared Objects, LSO) Tali oggetti non verrebbero mai cancellati dal browser! Sembra che molte compagnie utilizzino tali cookie per tracciare (silenziosamente) il comportamento degli utenti sul Web Questo add-on rimuove tali oggetti ad ogni chiusura di Firefox https://addons.mozilla.org/en-US/ firefox/addon/6623/ Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Altri add-on? Certamente. . . Abbiamo visto solo alcuni add-on per Firefox, utili per raggiungere un buon compromesso tra usabilità e sicurezza per l’utente sul web Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Altri add-on? Certamente. . . Abbiamo visto solo alcuni add-on per Firefox, utili per raggiungere un buon compromesso tra usabilità e sicurezza per l’utente sul web Daltronde sino ad oggi ne sono stati implementati ben oltre 700! Vedi https://addons.mozilla.org/it/ firefox/extensions/privacy-security/ Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Altri add-on? Certamente. . . Abbiamo visto solo alcuni add-on per Firefox, utili per raggiungere un buon compromesso tra usabilità e sicurezza per l’utente sul web Daltronde sino ad oggi ne sono stati implementati ben oltre 700! Vedi https://addons.mozilla.org/it/ firefox/extensions/privacy-security/ Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Altri add-on? Certamente. . . Abbiamo visto solo alcuni add-on per Firefox, utili per raggiungere un buon compromesso tra usabilità e sicurezza per l’utente sul web Daltronde sino ad oggi ne sono stati implementati ben oltre 700! Vedi https://addons.mozilla.org/it/ firefox/extensions/privacy-security/ Consiglio: prima di installare un add-on sarebbe bene capire come funziona (anche ad alto livello) e se il suo utilizzo può causare altri problemi (es. di Privacy) Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Ricerca presso il DIEE: Presentazione di Flux Buster Vediamo insieme il sistema da me sviluppato, in collaborazione con Roberto Perdisci (Associate Professor, Georgia State University, USA) Questo sistema può fornire supporto notevole per la sicurezza degli utenti sul web, attraverso la rilevazione delle reti fast flux Rivista Internazionale: Roberto Perdisci, Igino Corona, Giorgio Giacinto: Early Detection of Malicious Flux Networks via Large-Scale Passive DNS Traffic Analysis. IEEE Transactions on Dependable and Secure Computing 9(5): 714-726 (2012) Sicurezza degli utenti sul World Wide Web Firefox Protezione da attacchi Ricerca presso il DIEE: PDF Malware In collaborazione con Davide Maiorca, abbiamo messo in luce diverse tecniche automatiche tramite cui i criminali informatici possono modificare PDF malware per evadere tutti i sistemi di rilevazione allo stato dell’arte. Conferenza Internazionale su Sicurezza Informatica: Davide Maiorca, Igino Corona, Giorgio Giacinto , Looking at the Bag is not Enough to Find the Bomb: an Evasion of Structural Methods for Malicious PDF Files Detection, 8th ACM Symposium on Information, Computer and Communications Security (ASIACCS 2013 - Acceptance Ratio: 35/216 = 16.2%), Hangzhou, China, 07/05/2013