Principi della Sicurezza in Internet

Transcript

Giovedì 20 Ottobre 2016 - I° Incontro
Principi della Sicurezza in Internet
MI PRESENTO :
• Ag. Investigativo Privato e Digitale
• Esperienza di oltre quindici anni in ambito
IT Sistemistico e Tecnico.
• Appassionato e Studente di Sicurezza Informatica,
Open Source Intelligence ed Ethical Hacker
• Information Security Professional
• Scrivo nel canale «Security Notes»
del Portale TechEconomy.it
• Collaboro con la cattedra di Informatica Giuridica
dell’Università di Milano
• Socio e Docente
Principi della Sicurezza in Internet – 20 Ottobre 2016 – Antonio Sagliocca
2
2000-2016: 16 anni dedicati alla sicurezza
Associazione “no profit” con sede presso
l’ Università degli Studi di Milano
Dipartimento di Informatica
I Soci rappresentano oltre 500 organizzazioni, appartenenti
all’intero «Sistema Paese»
Sito Istituzionale: www.clusit.it
e-mail:
[email protected]
rapporti:
[email protected]
Sicuramente
www.clusit.it
3
CLUSIT - Gli Obiettivi




Diffondere la cultura della sicurezza informatica presso le Aziende, la
Pubblica Amministrazione e i cittadini
Partecipare alla elaborazione di leggi, norme e regolamenti che
coinvolgono la sicurezza informatica, sia a livello nazionale che europeo
Contribuire alla definizione di percorsi di formazione per la
preparazione e la certificazione delle diverse figure professionali
operanti nel settore della sicurezza
Promuovere l'uso di metodologie e tecnologie che consentano di
migliorare il livello di sicurezza delle varie realtà
4
CLUSIT – Il Ruolo Istituzionale
In ambito nazionale, Clusit opera in collaborazione con:













Presidenza del Consiglio
Ministero della Difesa
Ministero dell’ Economia e delle Finanze
Ministero della Giustizia
Ministero dell’ Interno
Ministero dello Sviluppo Economico
Banca d’Italia
Polizia Postale e delle Comunicazioni, Arma dei Carabinieri e Guardia di Finanza
Autorità Garante per la tutela dei dati personali
Autorità per le Garanzie nelle Comunicazioni
Confindustria, Confcommercio e Consorzio Netcomm
Università e Centri di Ricerca
Associazioni Professionali e Associazioni dei Consumatori
5
CLUSIT – Le priorità per il 2016
 Le Conference specialistiche: Security Summit (marzo a Milano, giugno a Roma,
ottobre a Verona).
 Formazione: i Webinar CLUSIT e le video-pillole di sicurezza
 Pubblicazioni: le Pillole di Sicurezza e altri documenti tecnico-scientifici
 Ricerca e studio: Premio “Innovare la Sicurezza delle Informazioni” per la migliore tesi
universitaria – 12a edizione
 Assistenza e supporto al settore industriale: per una maggiore sicurezza dei sistemi e
delle reti informatiche del sistema manifatturiero italiano
 Osservatorio E-commerce: sulla sicurezza nel commercio elettronico in Italia
 €Privacy: Osservatorio sul nuovo Regolamento EU sulla protezione dei dati personali
 ECSM - Il Mese Europeo della Sicurezza Informatica: Campagna europea di
sensibilizzazione promossa e coordinata in Italia da Clusit nel mese di ottobre, in
accordo con l’ENISA e l’ISCOM (MISE).
 Rapporti Clusit: Rapporto annuale sugli eventi dannosi (Cybercrime e incidenti
informatici) in Italia; analisi del mercato italiano dell’ICT Security; analisi sul mercato
del lavoro.
6
Rapporto Clusit 2015
• 2.500 copie cartacee
• Oltre 60.000 in
elettronico
• Più di 200 articoli
pubblicati
• Per richiedere il 2016
[email protected]
https://clusit.it/rapportoclusit/
7
OTTOBRE è il mese
dedicato all'iniziativa
European Cyber
Security Month
(ECSM)
L'ECSM è organizzato
dall'agenzia europea
ENISA, con svariate
attività in tutti i Paesi
membri dell'UE.
http://www.clusit.it/ecsm2016/index.htm
https://cybersecuritymonth.eu/
8
Abbiamo avuto la fortuna di nascere in un momento
storico in cui c'è stata l'altra grande invenzione
dell'umanità, dopo il fuoco (e simile ad esso) …
INTERNET
Le grandi invenzioni hanno questa caratteristica:
ci vuole un po' di tempo a domarle all'inizio.
Oscar Farinetti (Eataly) alla Sapienza - MF Maggio 2016
http://www.milanofinanza.it/news/farinetti-alla-sapienza-internet-e-come-il-fuoco-201605131357329147
9
Internet in Italia
ha circa 30 anni,
lo conosciamo
e sappiamo proteggerci?
Interessante video della nascita di Internet in Italia
http://www.rai5.rai.it/articoli/login-il-giorno-in-cui-litalia-scoprì-internet-versione-ridotta/33224/default.aspx
10
http://www.appletvitalia.it/2016/08/12/giovane-mamma-sotto-shock-ecco-come-un-hacker-spiava-le-mie-bambine/
11
http://www.fastweb.it/smartphone-e-gadget/flash-keyboard-la-tastiera-android-che-ruba-i-dati/
12
13
http://www.macitynet.it/da-malwarebites-allarme-nuovo-malware-per-mac-os/
14
http://www.ilfattoquotidiano.it/2016/08/14/internet-delle-cose-anche-le-sedie-a-rotelle-nelle-grinfie-degli-hacker/2974457/
15
http://www.ansa.it/sito/notizie/tecnologia/internet_social/2016/09/22/attacco-hacker-a-yahoo-violati-i-dati-di-milioni-di-persone_6479f46d-00c2-4302-acbf-ed2adef33717.html/
16
https://blog.kaspersky.it/dropbox-hack/8875/
17
E nel 2015?
Ecco alcuni attacchi tra i più importanti dell’anno scorso:




Anthem. Ha subito il furto di 80 milioni di record di dati
personali di clienti (dip. Militari e Federali) e impiegati.
(attacco iniziato ad aprile 2014 e scoperto a gennaio 2015)..
Ashley Madison. Un gruppo criminale chiamato «Impact
Team» si impossessa del database dei 37 milioni di utenti del
famoso servizio web di incontri per adulti. (la maggior parte dei
clienti aveva pwd 12345, 123456 e juventus)
Oltre 100 istituti bancari di 30 paesi del mondo sono vittime
della più grande cyber-rapina del 2015 e forse di sempre, con
un danno di un miliardo di dollari
Hacking Team colpita da ignoti che hanno pubblicato online
una impressionante quantità di dati sensibili (oltre 400 Gb).
Principi della Sicurezza in Internet – 20 Ottobre 2016 – Antonio
18
Fonte Sagliocca
Rapporto Clusit
2016
CYBERCRIME – Situazione 2015
Gli attacchi gravi di dominio pubblico sono stati 1012,
nel 2014 invece 873.
Cybercrime +30%
Espionage +40%
Attacchi verso le strutture critiche +150%
Verso siti e-commerce e piattaforme Cloud pubbliche + 81%
Verso piattaforme di blogging e gaming +80%
Fonte Rapporto Clusit 2016
19
Internet in Italia
ha circa 30 anni,
lo conosciamo
e sappiamo proteggerci?
NO !
non ancora …
20
“I am convinced that there are only two types of companies: those
that have been hacked and those that will be. And even they are
converging into one category: companies that have been hacked
and will be hacked again.” March, 2012 (Robert S. Mueller, III Director
FBI
RSA
Cyber
Security
Conference
San
Francisco,
CA
su
https://archives.fbi.gov/archives/news/speeches/combating-threats-in-the-cyber-world-outsmarting-terroristshackers-and-spies)
“Ci sono due tipi di aziende. Quelle che sono state bucate, e quelle
che ancora non lo sanno” Marzo 2014 (Raoul «Nobody» Chiesa su
http://www.agendadigitale.eu/infrastrutture/757_quelle-verita-mai-dette-sulla-cyber-security.htm )
“Il problema principale non è tanto che si verrà attaccati (tutti lo
sono costantemente, nella sfera personale e professionale, per i
motivi più disparati), ma quali saranno gli impatti degli attacchi
andati a buon fine sulla sicurezza di organizzazioni, utenti, client e
partner, e come impedire al maggior numero possibile di incidenti
di verificarsi. Giugno 2016 (Rapporto Clusit)
21
22
CYBERCRIME
Qual è lo scopo diretto dei cybercriminali?




Non più solo il profitto diretto, ma soprattutto ottenere
DATI PERSONALI
La Criminalità organizzata ha capito da tempo che risulta più
redditizia e meno pericolosa l’attività criminale sul WEB rispetto
a quella classica (quella Russa fa quasi 20 miliardi di dollari di
fatturato l’anno)
Spesso il crimine ha tempo e denaro che i difensori non hanno
Il problema di combattere il Cybercrime è, infatti, spesso
economico e non tecnico (per ogni dollaro investito dal
criminale, se ne spendono milioni per difendersi)
23
Cybercrime Surpasses
Traditional Crime in the
United Kingdom
July 7, the United Kingdom’s National
Crime Agency (NCA) released their
Cyber Crime Assessment report for
2016.
The report notes how cybercrime has
surpassed normal or traditional crime,
in terms of impact. The UK’s Office of
National Statistics included cybercrime
for the first time in their 2015 annual
Crime Survey of England and Wales.
The survey estimated that there are
2.46 million cyber incidents and 2.11
million victims of cybercrime in the UK
last year.
Computer misuse and computer
enabled crime accounted for 53% of all
crime in the UK in 2015, making it
larger than all other kinds of crime.
http://blog.trendmicro.com/trendlabs-security-intelligence/cybercrime-surpasses-traditional-crime-united-kingdom/
24
Prezzi per una vulnerabilità non nota (zero-day)
Fonte: Forbes
25
26
connessi ad Internet sono anche …
27
L’Utente

Con l’evolversi della Tecnologia … Si evolvono anche le minacce!!

L’Uomo è l’ANELLO debole della catena della Sicurezza

Anche la tecnologia migliore cade sotto comportamenti umani errati
28
Situazione attuale e trend




La tecnologia fa sempre più parte della nostra vita quotidiana ed
è presente in ogni settore. Dopo i computer e gli smartphone
sono apparsi gli apparati IoT (Internet of Things) e i Wearables
La nostra superficie digitale vulnerabile/attaccabile
cresce più velocemente della nostra capacità di
proteggerla.
Si da meno valore a quello che si fa utilizzando il Computer o lo
Smartphone (Tecnomediazione).
Non possiamo illuderci che il cybercrime non ci toccherà mai,
perché o ne siamo già stati vittima o comunque succederà, a
prescindere da chi siamo e cosa facciamo
29
Scenari di Rischio













Malware (trojan, rootkits, ransomware, ..)
Perdita di dati personali / sensibili – violazioni Privacy
Furto di denaro
Phishing & Whaling
Spam
Frodi
Social Engineering
Download di Applicazioni non sicure
Furto d’Identità
Diffamazione
Stalking
Danni all’immagine e reputazione
Sextortion, Grooming,
30
et voilà … Password !!
https://password.kaspersky.com/it/
31
Malware
Ransomware (Cryptolocker, Cryptowall, ..), l’incubo dal 2013!
32
Malware






Al giorno d’oggi non si parla più di VIRUS, ma dobbiamo fare i conti con
TROJAN, KEYLOGGER, WORM, BAKDOOR, SPYWARE,
RANSOMWARE …
Nessun S.O. a bordo di computer e smartphone è immune.
Circa 300.000 nuove minacce al giorno e sempre più complesse, formate
da un mix di strategie
Il malware veicola per lo più tramite messaggi posta elettronica
Il 90% del malware è usato una o poche volte. Difficile da rilevare nello
spazio internet.
Ormai il malware altro non è che un link ad uno spazio cloud dove si trova il
vero file malevolo. In questo modo non è rilevabile al normale controllo
antivirus della posta.
33
Watering Hole (abbeveratorio)
Il sito o una pagina
Facebook di un personaggio
famoso, un evento
importante, etc, vengono
compromessi in modo da
colpire tutti quelli che si
collegano, che sono molti.
E’ come se venisse avvelenata una pozza d’acqua, morirebbero tutti
gli animali che vi bevessero.
Nel 2013 la pag. FB di Alpitour è stata violata per due giorni e sulla
stessa apparivano annunci con link malevoli. I circa 100.000 “amici”
della pagina sono stati esposti al malware Zeus.
34
Shodan




Dal 2009 è il «motore di ricerca» di ogni dispositivo connesso alla rete
Indicizza ogni genere di informazione relativa ai dispositivi
Se mal configurati o lasciati con password di default permettono
facilmente l’accesso ad un criminale
Router, Videocamere, Server, SmartTV, Frigoriferi, Caldaie, … sono
tutti individuabili da Shodan
35
Tecnologia NFC (Near Field Communication)
36
Phishing, Spear Phishing, Whaling
37
Quello che succede in Internet ..
influenza la Realtà!
23 Aprile 2013, indice Dow Jones scende di
150 punti a causa del tweet provocando in 3
minuti una perdita di 136 milioni di dollari
dal mercato
38
Social Engineering
Come si potrebbe riuscire a violare
un sistema ben protetto? Oppure
ottenere informazioni riservate?
Fingendo
Ingannando
Mentendo
39
Download di App dannose
40
Wi-Fi Pubblico
41
Deep Web – Dark Web
In Internet: 550 miliardi di documenti, Google ne indicizza 2 miliardi (Surface Web)
42
Posizioni Frequenti / Location History


Quanti conoscono la funzione “Posizioni Frequenti” dell’iPhone? Si
tratta di una impostazione dello smartphone abilitata di default.
Si trova nel menù Impostazioni/Privacy/Localizzazione/Servizi di
Sistema (preso a campione un iPhone 5S). Se abilitata registra tutti i
luoghi visitati dall’utente nel tempo raggruppando quelli più frequenti
e registrando anche il tempo di permanenza in ogni luogo.
Servizio analogo si ha con la “location history” di Google, quando si ha
GMail sul telefonino o altre applicazioni legate a Google. Questo registra
tutti gli spostamenti con rispettiva data ed orario e permette di vedere le
registrazioni su “Google.it/locationhistory”. In questo caso è evidente
che se il registro può vedersi online, allora tutti i dati dei nostri
spostamenti non sono di certo sul nostro telefonino. Anche in questo
caso la “location history” è abilitata di default nei device, ma è possibile
disabilitarla.
43
Open Source Intelligence
- Analisi delle fonti aperte/pubbliche«Metodo di investigazione nato in seno ai Servizi Segreti,
molto potente. Perfino dentro le organizzazioni
d’Intelligence il suo apporto si colloca tra l’80% e il 90%
dell’intera raccolta informativa.»
«Metodologia raffinata e complessa che trasforma dati e
informazioni apparentemente slegati tra loro, reperiti in
qualsiasi luogo della rete, in un quadro coerente e
significativo sul piano investigativo» / ( o criminale ).
44
45
Facebook e Social Network
46
Social Network
«E come faranno i figli a prenderci sul serio
con le prove che negli anni abbiamo lasciato su Facebook
Papà che ogni weekend era ubriaco perso
E mamma che lanciava il reggiseno a ogni concerto»
Testo tratto dalla canzone «Vorrei ma non posto» di J-Ax e Fedez
Fosse solo questo il problema .. Il reggiseno e il papà ubriaco ….
NO, è l’OVERSHARING, ossia la tendenza degli individui a
fornire pubblicamente più informazioni del necessario, questo
per mancanza di consapevolezza, per errore o imprudenza.
47
Fattore “Umano” (1)
Tra gli aspetti che maggiormente mettono a rischio la nostra Privacy
ci siamo NOI STESSI!
E’ enorme la quantità di informazioni che ci riguarda e che
pubblichiamo sui Social o comunque in Internet in generale. E i
comportamenti sbagliati che assumiamo. Non è da considerare quello
che diffondiamo una volta, ma quanto giorno dopo giorno abbiamo
pubblicato e che aggregandolo potrà produrre un nostro profilo
completo per chi vuole danneggiarci.
48
Fattore “Umano” (2)
Data di nascita, foto della visuale della nostra terrazza (con attiva la
geolocalizzazione), foto nostra e della nostra famiglia, foto della
macchina nuova (magari con targa visibile), … Addirittura c’è chi ha
pubblicato con entusiasmo la foto della patente appena presa,
comprensiva di tutti i dati personali ben visibili …
Chi vuole farci del male, chi vuole rubarci in casa, o vuole tracciare un
nostro profilo completo per attuare del Social Engineering, basterà che
faccia una ricerca in internet e scorra la nostra bacheca di FB (che
ovviamente è pubblica, vero?).
49
Riflettiamo …
NOI ESSERI UMANI
DIMENTICHIAMO,
LA RETE INTERNET NO !
50
51
52
53
Truffe Social



Il criminale crea un profilo falso e contatta la vittima (ci si fida
troppo dei Social). La convince ad effettaure videochiamate e
quindi foto intime. Poi lo minaccia estorcendo denaro ->
SEXTORTION
Il criminale può reimpostare la vostra password dell’account
utilizzando la procedura di modifica della password contattando
tre amici. Se in precedenza ha ottenuto la vostra amicizia con tre
suoi profili facebook falsi lo potrà fare.
Il malintenzionato potrebbe mandare delle email all’utente
fingendo di essere facebook. Nel messaggio sarà presente il link
ad una pagina finta di facebook (che però assomiglia in tutto e
per tutto a quella vera). A quel punto quando si autenticherà
trasmetterà al malintenzionato i suoi codici di accesso.
54
PASSIAMO
ALLA
DIFESA
55
Comportamento su Facebook / Social (1)



Configurare opportunamente il menù impostazioni/protezione
 Avvisi di accesso (browser o dispositivo diverso)
 Approvazione degli accessi (richiede codice se browser diverso)
 Password per applicazioni (per impostarle diverse)
 Impostare contatti fidati (da 1 a 5)
 Storico e Cronologia Accessi e
I tuoi browser e le tue applicazioni
 Dispositivi da cui hai effettauto l’accesso (geolocalizzati)
 Chiave Pubblica (per crittografare email ricevute da Fb)
Nella scheda notifiche/email abilitare «post sul mio diario»
Se siamo vittime di un furto di identità sporgiamo subito
denuncia!
56



Facebook è un luogo «pubblico». Quello che non vorreste esporre
in piazza, non esponetelo su facebook.
Non fidiamoci degli sconosciuti. Accettare preferibilmente amicizie
solo da chi si conosce realmente.
Fare attenzione ai link e allegati che si ricevono, il phishing
viaggia anche sui social.
57
Comportamento su Facebook / Social
Rubare un profilo Facebook
è un reato penale
«Furto d’Identità digitale»,
reclusione da 2 a 6 anni
e multe da 600 a 3000 euro)
Att.ne anche Diffamazione e Sost. di Persona
58
Comportamento su Facebook / Social
Corte di Cassazione: creare un
account falso non è un crimine,
ma lo diventa se l’atto viene
svolto per sostituirsi a qualcuno
59
60
INTERNET: Comportamento Generale (1)


PENSARE prima di cliccare! Avere un utilizzo consapevole.
LEGGERE tutti i messaggi che compaiono mentre si installa
FONDAMENTALE
Aggiornare i S.O. di tutti i device (anche Smartphone e SmartTV!)

Aggiornare tutte le App


Installare, aggiornare e utilizzare periodicamente un Antivirus
Installare un Firewall (anche quello del S.O.)

Effettuare i Backup (salvataggi) dei dati e separarli dalla rete

Utilizzare Password forti, segrete e diverse per ogni servizio

IMPORTANTE
Sfrutta l’autenticazione in due passaggi per social e servizi Web

Non inserite penne USB di dubbia provenienza

61







Attenzione ai link che si premono, dietro quello che appare
potrebbe nascondersi un altro indirizzo
Non collegarsi a WiFi pubbliche se non si conosce chi le offre
Attenzione al social Engineering
Insospettirsi se al vostro Computer inaspettatamente succede:
- Pop Up pubblicitari inaspettati
- Comparsa di applicazioni sconosciute o sospette
- Impostazioni modificate
- Computer lento
Pulire frequentemente i file temporanei (ci si annida malware)
Considerare la geo-localizzazione quando si pubblicano foto
Scaricare App solo da fonti ufficiali, se davvero necessarie, e magari
prima cercare qualche recensione
62
COMUNICAZIONI
Proteggere le comunicazioni o i documenti delicati criptandoli

Non rispondere né aprire email di spam, da mittenti sospetti o con

allegati eseguibili, previo controllo antivirus
Attenzione quando si parla in luoghi pubblici o si visualizzano

informazioni personali su cellulari e computer

Non rispondere mai a richieste di dati personali o password che vi
perviene attraverso email
Inserite i dati personali solo su pagine web che nella barra degli

indirizzi abbiano «https://».

Per verificare la bontà del sito utilizzare servizi online (es.
https://www.virustotal.com/it/ )
INTERNET SARA’ UN PO PIU’ SICURO
SE SAREMO UTENTI UN PO PIU’ CONSAPEVOLI.
63
64
LINK immagini nelle slide
26) http://hackersi.altervista.org/?p=29,
http://mywindowon.blogspot.it/2012_06_01_archive.html,
http://www.androidaba.com/iptv-su-smart-tv-samsung/,
http://www.archiproducts.com/,
http://www.casapratica.org
28) http://www.palermomania.it/news.php?usare-troppo-lo-smartphone appesantisce-ilcollo-e-la-schiena&id=67298
37) https://blog.kaspersky.it/sette-consigli-per-evitare-gli-attacchi-di-pishing-sufacebook/5839/,
http://www.inve.it/news/ecco-l-elenco-dei-nuovi-virus-del-2016-e-come-sconfiggerli
38) https://www.washingtonpost.com/news/worldviews/wp/2013/04/23/syrian-hackersclaim-ap-hack-that-tipped-stock-market-by-136-billion-is-it-terrorism/
39) http://tutorialsdl.com/christopher-hadnagy-paul-wilson-editor-social-engineering-the-artof-human-hacking/
http://amministrazionelibera.org/?attachment_id=2608&i=1
40) http://checkblacklist.altervista.org/malware-android-6-miliardi-app-analizzate-giorno/
42) http://www.lettera43.it/capire-notizie/internet-cosa-e-il-dark-web_43675181651.htm
46) http://www.checkblacklist.it/sextorsion-fb-40enne/
http://news.fidelityhouse.eu/web/facebook-introduce-un-nuovo-strumento-contro-ilfurto-didentita-198392.html
http://www.vocesporlajusticia.gob.ar/alerta-grooming-cuando-peligro-deja-virtual/
55) http://www.difesaonline.it/evidenza/cyber
65
Antonio Sagliocca
https://twitter.com/AntSagliocca
https://www.facebook.com/antonio.sagliocca.1
https://www.facebook.com/internetoggirischi/
66

Principi della Sicurezza in Internet

Transcript

Documenti analoghi

Note per wikipedia biografia bruno pistidda

Calendario Colloqui Master Finanza 2015

Presentazione VII Battista Ricciardi traduttore di Antonio Mira de

Recensione della rappresentazione teatrale de "Il Bell`Antonio", in

Curriculum Vitae - Teatro Donnafugata

ANTONIO LUDOVICO VINCE GRANDPRIX LUDUS MAXIMUS-foto

Numeri di Letterature - LETTERATURE Festival Internazionale di

Dr. Casà Salvatore Dr. Iacono Giovanni Dr. Fabbri Federico Dr. D

ELIO VELTRI E ANTONIO LAUDATI presentano il loro libro MAFIA

20140913_FP_collettiva_70x100_low