La sicurezza dei servizi Web per l`utente finale tra Trojan, Virus e

Transcript

La sicurezza dei servizi Web
per l'utente finale tra Trojan,
Virus e inconsapevolezza
Andrea Pasquinucci
A. Pasquinucci -- InsicurezzaWeb -- 15/12/2010 -- Pag. 1
Indice:

Servizi Web

La vita di un Trojan

Utenti e truffe

Web e sicurezza: un Ossimoro ?

Conclusioni
Servizi Web

Interfaccia Web Ricca e Versatile



Web 2.0 => più interattiva
Trasversale ed onnipresente

Dai PC

Ai telefonini

Ai sistemi embedded
Web = HTTP, HTML, Javascript ... ?

Protocollo di comunicazione applicativo

Interfaccia di presentazione generica e duttile
Architettura

Client-Server (distribuita)

Sicurezza?

Il Server

Gestito da professionisti

Unico

Identificabile (nome, IP, certificato digitale)

Messo in sicurezza (siamo sicuri?)

Comunica in modo riservato se il client lo permette
(cifratura)
Architettura - 2

Il Client

Non noto chi sia responsabile della sua gestione

Non noto quale sia

Varia in tutte le caratteristiche, anche alle volte
nella compatibilità

Non identificabile

Sicurezza tipicamente mancante

Comunicazioni libere
Sicurezza

Attaccare il Server
Difficile ma possibile
 Guadagno alto ma molto raro
 Rischio di essere individuati
Attaccare il Client


Facile
 Guadagno basso ma facile e frequente
Quindi...


La vita di un Trojan
Mister X, Italiano, vuol fare soldi:



Ha competenze informatiche
Si informa online sulle attuali tecniche più
redditizie
Acquista online il Kit Zeus/SpyEye/...
Costo da 500$ a 20.000$ (Zeus parte da
4.000$)
Sviluppa una propria versione mirata alla truffa
che vuole fare (maggiori dettagli più avanti)


La vita di un Trojan - 2

Carica il proprio Kit sui sistemi di Command &
Control (C&C) della rete Botnet



Anche questo è a pagamento
I sistemi C&C permettono di gestire il Trojan
quando è installato sul PC dell'utente
Statistiche per Zeus al 2010-12 (zeustracker.abuse.ch)






ZeuS C&C servers tracked: 538
ZeuS C&C servers online: 225
ZeuS C&C servers with files online: 48
ZeuS FakeURLs tracked: 73
ZeuS FakeURLs online: 42
Average ZeuS binary Antivirus detection rate: 33.95%

Contatta una organizzazione di distribuzione di
malware per distribuire il proprio Kit (esempio
AVprofit) a pagamento

A questo punto sono possibili alcune variazioni
1.Il distributore si occupa di inserire in famosi siti
web, richiami all'installer del Kit


Tramite XSS-SQLInjection viene inserito in una
pagina normalissima un link all'installer del Kit
(IFRAME, immagine di 1 px, ecc.)
L'ignaro utente naviga sulla pagina e scarica
l'installer del Kit senza saperlo
2.Il distributore invia per email (SPAM) un
messaggio che invita il ricevente ad andare su
un sito civetta


Il sito civetta rimanda ad un sito vero, ma prima fa
scaricare l'installer del Kit
L'ignaro utente naviga sulla pagina e scarica
l'installer del Kit senza saperlo




L'installer del Kit sfrutta vulnerabilità note e non
(Zero-Day) dell'SO per eseguire comandi come
amministratore del sistema
Come amministratore, scarica dai siti C&C le
altre componenti del Trojan
Il Trojan si installa a livello di SO e modifica il
SO
Spesso i Trojan utilizzano funzioni nascoste del
SO (ovvero note solo agli sviluppatori MS)



Il Trojan implementa tecniche per nascondersi
dagli Antivirus e/o disattivare gli Antivirus
Il Trojan implementa (a volte sofisticate)
tecniche per re-installarsi in caso di
cancellazione di alcune sue componenti
Il Trojan modifica e/o sostituisce librerie di
sistema per intercettare l'attività dell'utente



Key-logging
Traffico rete (navigazione web ecc.)
Accesso a periferiche (dischi, USB, smart-card
ecc.)

Il Trojan invia ai C&C periodicamente (anche
ogni 60 secondi) i dati raccolti:



Caratteristiche HW, SW, rete ecc. per utilizzo come
BOT
Informazioni intercettate: credenziali di accesso,
rubriche indirizzi, lista siti navigati ecc.
Il Trojan implementa un Terminale Remoto sul
PC Client, con privilegi amministrativi, gestibile
(via web) dai C&C, senza che l'utente se ne
accorga (RO e RW)




Mister X, Italiano, controlla via C&C i PC sui
quali è installata la sua versione del Trojan
Esempio: Identifica i destinatari della truffa in
aziende che usano l'InternetBanking di alcune
particolari Banche
Raccoglie le credenziali di accesso all'Internet
Banking
Quando vede cospicue cifre sui Conti Correnti,
utilizzando il Terminale Remoto sul PC Client
e le credenziali raccolte, esegue un bonifico su
conti esteri Muli

In presenza di OTP ed altri sistemi di sicurezza,
utilizza le funzioni di libreria di sistema
(indipendenti dal browser) per modificare le
trasmissioni dati dal browser del PC Client
all'InternetBanking, ad esempio cambiando cifra
e destinario di un bonifico

Si noti che la cifratura delle comunicazioni tra
Browser e sito InternetBanking (SSL/TLS) avviene
dopo l'intercettazione effettuata dal Trojan con le
librerie di sistema
La Morte di un Trojan
?



Solo 1 antivirus su 3 (e aggiornato) è in grado
di indentificare e rimuovere questi nuovi Trojan
Le nuove versioni di Trojan sono quasi a ritmo
settimanale
Aggiornare (Patch) il SO è fondamentale ma
non sufficiente (ZeroDay bugs)
Re Installare
La Morte di un Trojan - 2

Alcune note positive:




i Trojan sono furbi ma hanno anche loro parecchi
bug
Spesso l'Installer funziona solo in presenza di
particolari vulnerabilità
Alcuni Trojan richiedono particolare HW (CPU di
certa classe, RAM, velocità connessione rete ecc.)
MacOS, Linux ed altri SO non MS, per ora
sembrano abbastanza immuni da questi Trojan
Utenti e Truffe

Sono un utente aziendale



Gli aggiornamenti dell'SO sono fatti raramente
perché incompatibili con vecchi programmi di cui
non si vuole/può acquistare la nuova versione
Gli aggiornamenti dell'Antivirus sono fatti raramente
per ragioni analoghe e perché l'AV rallenta già
troppo il PC
La navigazione web e la posta non possono essere
limitate perché altrimenti non posso lavorare (e mi
arrabbio per ...)
Utenti e Truffe - 2


E gli utenti privati ???
... e utilizzo anche il PC privato da casa per
lavoro ...
Utenti e Truffe - 3

L'utente finale non ha alcuna possibilità di
difendersi autonomamente da queste truffe


Si noti che non intralciano l'utilizzo normale
dell'utente, anzi a volte la presenza del Trojan
migliora le prestazioni del PC
Il Server non è in grado di distinguere se il PC
Client è controllato da un Trojan o meno


Non ci riescono neanche la maggior parte degli
AntiVirus
Le transazioni sono fatte in modo identico a quelle
del vero utente, dal PC Client
Web e Sicurezza

Che fare?


OTP HW per rendere la truffa più difficile e non
ripetibile (controllato dal Server)
Canale diverso per la verifica delle transazioni
➢ Sicurezza
telefono, fax, sms molto limitata, finché dura...
(ricordiamoci delle truffe telefoniche degli anni '90, ora
dovrebbe anche essere più facile)

Device HW per le transazioni
➢ Idea

del passato mai implementata con successo
Mille altre idee ... ma la Soluzione Magica per ora non
esiste
Web e Sicurezza - 2

PS: non pensiamo neanche a

Addossare la responsabilità all'utente finale
➢ Se
offriamo un servizio via Web, come fornitori siamo
responsabili della valutazione di sicurezza dello stesso


Aspettarci di poter educare gli utenti finali e
responsabilizzarli in qualche modo
L'unica cosa che possiamo fare è fornire
all'utente finale degli strumenti e fare in modo
che l'utente finale possa utilizzarli solo nel
modo corretto (anche senza saperlo)
... un Ossimoro ?

In teoria no ...

... ma in pratica si


Con gli attuali SO e servizi Web non è possibile
evitare questo tipo di truffe
Esistono strumenti per contrastarle e limitarle

Ovviamente le contromisure costano => rapporto
costi / benefici
Conclusioni

L'approccio al momento più efficace consiste in


Utilizzo di tecnologie con costi ragionevoli ma effetti
sicuri (ad esempio OTP HW) anche se non definitivi
Utilizzo delle tradizionali procedure anti-frode ora
applicate con gli strumenti informatici dell'era Web
(tipicamente attività degli Auditor)
➢Esempio
banale: utente aziendale non ha mai fatto
bonifici esteri negli ultimi 10 anni, un bonifico estero
fatto al di fuori dell'orario di ufficio è per lo meno
sospetto
Conclusioni - 2




Le frodi con strumenti Web ci sono e ci saranno
per molto tempo
Quando e se la tecnologia sarà in grado di
contrastarle, le frodi faranno più affidamento sul
fattore umano
Le frodi nell'era Web cambiano molto
velocemente
Dobbiamo imparare a convivere con loro e a
fronteggiarle quotidianamente
Copyright e Licenza
Queste slide sono copyright © Andrea Pasquinucci
Queste slide sono distribuite sotto la licenza Creative
Commons by-nc-nd 2.5: attribuzione, non-commerciale,
non-opere-derivate
http://creativecommons.org/licenses/by-nc-nd/2.5/
Grazie
Andrea Pasquinucci
pasquinucci-At-ucci.it www.ucci.it

La sicurezza dei servizi Web per l`utente finale tra Trojan, Virus e

Transcript

Documenti analoghi

DIRETTIVA BOLKESTEIN Il futuro del commercio su aree pubbliche

8 settembre 2010 Il Gazzettino di Treviso

Catalogo per - creato il 13-08-2016 Viglietta Guido

Virus e Trojan

Trojan.Winlock.5490 minaccia gli utenti francesi Il 27 - s

Gennaio 2006 - Fondazione Marazza

Bosco e Territorio

Il “trojan horse” - studio legale Potenti

Il Messaggero - La Medicina Estetica.it

Linee guida in materia di produzione di alimenti non