La sicurezza dei servizi Web per l`utente finale tra Trojan, Virus e
Transcript
La sicurezza dei servizi Web per l`utente finale tra Trojan, Virus e
La sicurezza dei servizi Web per l'utente finale tra Trojan, Virus e inconsapevolezza Andrea Pasquinucci A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 1 Indice: Servizi Web La vita di un Trojan Utenti e truffe Web e sicurezza: un Ossimoro ? Conclusioni A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 2 Servizi Web Interfaccia Web Ricca e Versatile Web 2.0 => più interattiva Trasversale ed onnipresente Dai PC Ai telefonini Ai sistemi embedded Web = HTTP, HTML, Javascript ... ? Protocollo di comunicazione applicativo Interfaccia di presentazione generica e duttile A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 3 Architettura Client-Server (distribuita) Sicurezza? Il Server Gestito da professionisti Unico Identificabile (nome, IP, certificato digitale) Messo in sicurezza (siamo sicuri?) Comunica in modo riservato se il client lo permette (cifratura) A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 4 Architettura - 2 Il Client Non noto chi sia responsabile della sua gestione Non noto quale sia Varia in tutte le caratteristiche, anche alle volte nella compatibilità Non identificabile Sicurezza tipicamente mancante Comunicazioni libere A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 5 Sicurezza Attaccare il Server Difficile ma possibile Guadagno alto ma molto raro Rischio di essere individuati Attaccare il Client Facile Guadagno basso ma facile e frequente Quindi... A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 6 La vita di un Trojan Mister X, Italiano, vuol fare soldi: Ha competenze informatiche Si informa online sulle attuali tecniche più redditizie Acquista online il Kit Zeus/SpyEye/... Costo da 500$ a 20.000$ (Zeus parte da 4.000$) Sviluppa una propria versione mirata alla truffa che vuole fare (maggiori dettagli più avanti) A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 7 La vita di un Trojan - 2 Carica il proprio Kit sui sistemi di Command & Control (C&C) della rete Botnet Anche questo è a pagamento I sistemi C&C permettono di gestire il Trojan quando è installato sul PC dell'utente Statistiche per Zeus al 2010-12 (zeustracker.abuse.ch) ZeuS C&C servers tracked: 538 ZeuS C&C servers online: 225 ZeuS C&C servers with files online: 48 ZeuS FakeURLs tracked: 73 ZeuS FakeURLs online: 42 Average ZeuS binary Antivirus detection rate: 33.95% A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 8 La vita di un Trojan - 3 Contatta una organizzazione di distribuzione di malware per distribuire il proprio Kit (esempio AVprofit) a pagamento A questo punto sono possibili alcune variazioni 1.Il distributore si occupa di inserire in famosi siti web, richiami all'installer del Kit Tramite XSS-SQLInjection viene inserito in una pagina normalissima un link all'installer del Kit (IFRAME, immagine di 1 px, ecc.) L'ignaro utente naviga sulla pagina e scarica l'installer del Kit senza saperlo A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 9 La vita di un Trojan - 4 2.Il distributore invia per email (SPAM) un messaggio che invita il ricevente ad andare su un sito civetta Il sito civetta rimanda ad un sito vero, ma prima fa scaricare l'installer del Kit L'ignaro utente naviga sulla pagina e scarica l'installer del Kit senza saperlo A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 10 La vita di un Trojan - 5 L'installer del Kit sfrutta vulnerabilità note e non (Zero-Day) dell'SO per eseguire comandi come amministratore del sistema Come amministratore, scarica dai siti C&C le altre componenti del Trojan Il Trojan si installa a livello di SO e modifica il SO Spesso i Trojan utilizzano funzioni nascoste del SO (ovvero note solo agli sviluppatori MS) A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 11 La vita di un Trojan - 6 Il Trojan implementa tecniche per nascondersi dagli Antivirus e/o disattivare gli Antivirus Il Trojan implementa (a volte sofisticate) tecniche per re-installarsi in caso di cancellazione di alcune sue componenti Il Trojan modifica e/o sostituisce librerie di sistema per intercettare l'attività dell'utente Key-logging Traffico rete (navigazione web ecc.) Accesso a periferiche (dischi, USB, smart-card ecc.) A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 12 La vita di un Trojan - 7 Il Trojan invia ai C&C periodicamente (anche ogni 60 secondi) i dati raccolti: Caratteristiche HW, SW, rete ecc. per utilizzo come BOT Informazioni intercettate: credenziali di accesso, rubriche indirizzi, lista siti navigati ecc. Il Trojan implementa un Terminale Remoto sul PC Client, con privilegi amministrativi, gestibile (via web) dai C&C, senza che l'utente se ne accorga (RO e RW) A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 13 La vita di un Trojan - 8 Mister X, Italiano, controlla via C&C i PC sui quali è installata la sua versione del Trojan Esempio: Identifica i destinatari della truffa in aziende che usano l'InternetBanking di alcune particolari Banche Raccoglie le credenziali di accesso all'Internet Banking Quando vede cospicue cifre sui Conti Correnti, utilizzando il Terminale Remoto sul PC Client e le credenziali raccolte, esegue un bonifico su conti esteri Muli A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 14 La vita di un Trojan - 9 In presenza di OTP ed altri sistemi di sicurezza, utilizza le funzioni di libreria di sistema (indipendenti dal browser) per modificare le trasmissioni dati dal browser del PC Client all'InternetBanking, ad esempio cambiando cifra e destinario di un bonifico Si noti che la cifratura delle comunicazioni tra Browser e sito InternetBanking (SSL/TLS) avviene dopo l'intercettazione effettuata dal Trojan con le librerie di sistema A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 15 La Morte di un Trojan ? Solo 1 antivirus su 3 (e aggiornato) è in grado di indentificare e rimuovere questi nuovi Trojan Le nuove versioni di Trojan sono quasi a ritmo settimanale Aggiornare (Patch) il SO è fondamentale ma non sufficiente (ZeroDay bugs) Re Installare A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 16 La Morte di un Trojan - 2 Alcune note positive: i Trojan sono furbi ma hanno anche loro parecchi bug Spesso l'Installer funziona solo in presenza di particolari vulnerabilità Alcuni Trojan richiedono particolare HW (CPU di certa classe, RAM, velocità connessione rete ecc.) MacOS, Linux ed altri SO non MS, per ora sembrano abbastanza immuni da questi Trojan A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 17 Utenti e Truffe Sono un utente aziendale Gli aggiornamenti dell'SO sono fatti raramente perché incompatibili con vecchi programmi di cui non si vuole/può acquistare la nuova versione Gli aggiornamenti dell'Antivirus sono fatti raramente per ragioni analoghe e perché l'AV rallenta già troppo il PC La navigazione web e la posta non possono essere limitate perché altrimenti non posso lavorare (e mi arrabbio per ...) A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 18 Utenti e Truffe - 2 E gli utenti privati ??? ... e utilizzo anche il PC privato da casa per lavoro ... A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 19 Utenti e Truffe - 3 L'utente finale non ha alcuna possibilità di difendersi autonomamente da queste truffe Si noti che non intralciano l'utilizzo normale dell'utente, anzi a volte la presenza del Trojan migliora le prestazioni del PC Il Server non è in grado di distinguere se il PC Client è controllato da un Trojan o meno Non ci riescono neanche la maggior parte degli AntiVirus Le transazioni sono fatte in modo identico a quelle del vero utente, dal PC Client A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 20 Web e Sicurezza Che fare? OTP HW per rendere la truffa più difficile e non ripetibile (controllato dal Server) Canale diverso per la verifica delle transazioni ➢ Sicurezza telefono, fax, sms molto limitata, finché dura... (ricordiamoci delle truffe telefoniche degli anni '90, ora dovrebbe anche essere più facile) Device HW per le transazioni ➢ Idea del passato mai implementata con successo Mille altre idee ... ma la Soluzione Magica per ora non esiste A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 21 Web e Sicurezza - 2 PS: non pensiamo neanche a Addossare la responsabilità all'utente finale ➢ Se offriamo un servizio via Web, come fornitori siamo responsabili della valutazione di sicurezza dello stesso Aspettarci di poter educare gli utenti finali e responsabilizzarli in qualche modo L'unica cosa che possiamo fare è fornire all'utente finale degli strumenti e fare in modo che l'utente finale possa utilizzarli solo nel modo corretto (anche senza saperlo) A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 22 ... un Ossimoro ? In teoria no ... ... ma in pratica si Con gli attuali SO e servizi Web non è possibile evitare questo tipo di truffe Esistono strumenti per contrastarle e limitarle Ovviamente le contromisure costano => rapporto costi / benefici A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 23 Conclusioni L'approccio al momento più efficace consiste in Utilizzo di tecnologie con costi ragionevoli ma effetti sicuri (ad esempio OTP HW) anche se non definitivi Utilizzo delle tradizionali procedure anti-frode ora applicate con gli strumenti informatici dell'era Web (tipicamente attività degli Auditor) ➢Esempio banale: utente aziendale non ha mai fatto bonifici esteri negli ultimi 10 anni, un bonifico estero fatto al di fuori dell'orario di ufficio è per lo meno sospetto A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 24 Conclusioni - 2 Le frodi con strumenti Web ci sono e ci saranno per molto tempo Quando e se la tecnologia sarà in grado di contrastarle, le frodi faranno più affidamento sul fattore umano Le frodi nell'era Web cambiano molto velocemente Dobbiamo imparare a convivere con loro e a fronteggiarle quotidianamente A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 25 Copyright e Licenza Queste slide sono copyright © Andrea Pasquinucci Queste slide sono distribuite sotto la licenza Creative Commons by-nc-nd 2.5: attribuzione, non-commerciale, non-opere-derivate http://creativecommons.org/licenses/by-nc-nd/2.5/ A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 26 Grazie Andrea Pasquinucci pasquinucci-At-ucci.it www.ucci.it A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 27