La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
1. La sicurezza delle informazioni nell’era dello Urban Cyber Space
Convegno Tecnhology4all
Centro Congressi Frentani – Via deiFrentani,45
14 MAGGIO 2015
2. Sicurezza: il contributo umano
• 7 Maggio: Giornata mondiale delle Password
Rank Password Change from 2013
1 123456 Unchanged
2 password Unchanged
3 12345 Up 17
4 12345678 Down 1
5 qwerty Down 1
6 123456789 Unchanged
7 1234 Up 9
8 baseball New
9 dragon New
10 football New
11 1234567 Down 4
12 monkey Up 5
Rank Password Change from 2013
13 letmein Up 1
14 abc123 Down 9
15 111111 Down 8
16 mustang New
17 access New
18 shadow Unchanged
19 master New
20 michael New
21 superman New
22 696969 New
23 123123 Down 12
24 batman New
25 trustno1 Down 1
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
2
3. Cosa sanno di noi i motori di ricerca
• https://security.google.com/settings/security/activity https://www.google.it/settings/ads
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
3
4. Cosa sanno di noi i motori di ricerca
E ovviamente la cronologia: https://history.google.com/history/
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
4
5. Location History
• https://maps.google.com/locationhistory/ un mese intero di spostamenti!
Mascherato per privacy.
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
5
6. Dump del nostro «io digitale»
• https://www.google.com/settings/takeout scarichiamo tutto!
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
6
7. (C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
Spazi per nuove soluzioni in progress
• Limite per gli attuali strumenti di salvaguardia della privacy (ad es. Ccleaner, etc..). I nostri dati
di privacy non sono più solo «in locale».
• Necessità di una nuova generazione di strumenti agenti online e con frequenza giornaliera. Ad
esempio macro automatizzate che simulano l’azione dell’utente. Servizi periodici in
abbonamento.
• Nel caso di gestori dei dati di privacy meno trasparenti, possibilità semplificata di adozione
dinamica di differenti profili di accesso ed esposizione in rete (differenti browser con settaggi
diversi, etc…).
7
8. Il nuovo Glossario delle minacce digitali
http://www.iglossa.org/istruzioni-
per-luso/
Promosso dal gruppo di lavoro
contro il cybercrime del Ministero
di Giustizia:
55 comportamenti criminali
o a rischio
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
8
9. Le criptovalute? Più tracciabili delle reali!
Colore e tracciabilità della moneta.
Operazione Onymous: tutti arrestati
Processo Silk Road: tutti arrestati
Riciclaggio di denaro «cartaceo»: tutti arrestati????
Tutte le transazioni di Bitcoin sono auto-registrate nella
valuta stessa con gli pseudonimi;
La traccia informatica lasciata dal Bitcoin è prova giudiziaria,
non solo indizio.
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
9
10. Report 2015 dai produttori di antivirus
Internet Security Report 2015:
$ 2014: target obiettivi di alto potenziale (Heartbleed,
800,000 sistemi)
$ Tempi di scoperta e soluzione elevati: 22 e 204 giorni (4
giorni nel 2013) siamo sempre più a rischio
$ Il 60% dei target sono le PMI
$ 317M di malware creati nel 2014
$ Alta percentuale di Ransomware (+113%) e
SpearPhishing: profilati sul target specifico
$ IoT: il 52% delle app NON PROTEGGE i dati, trasmissioni
non criptate (tastiere wireless).
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
10
11. Aumento della sofisticazione degli attacchi (CERT)
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
11
12. Hacker Academy gratis!
youtube
66900!!
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
12
13. Esempio di SQL Injection
Ricerca delle stringhe:
[+] inurl: news.php?id=
[+] inurl: news.asp?id=
59,000 risultati
121,000 risultati
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
13
14. Esempio di SQL Injection
Provo con il primo: http://www.irishsanghatrust.ie/news.php?id=33'
Possibile
vulnerabilità!!!
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
14
15. Esigenze e ruoli emergenti
Dal penetration test una tantum verso la necessità di sottoscrivere un servizio
di abbonamento per la verifica continua della sicurezza dei propri dati esposti
in rete sia a livello personale sia aziendale.
La professionalità e l’indipendenza devono essere predicate “in primis” a
livello della persona “fisica” che poi può anche partecipare o appartenere ad
un’organizzazione superiore con altri suoi “simili” che può offrire maggiori
garanzie.
La figura dell’Ingegnere dell’informazione ai sensi del DPR 328/2001 è quella
indicata per garantire affidabilità, competenza e comportamento etico.
Ai sensi della circolare 194/2013 del CNI vi sono specifiche riserve per tale
professionista in ambito ICT.(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
15
16. Paradossi del valore in moneta
Quando un servizio è gratis significa che noi siamo il prodotto.
Quando un servizio o prodotto è quasi gratis potrebbe avere una grande
economia di scala e dunque qualità nelle funzionalità ed affidabilità ma una
scarsa sicurezza.
Quando un servizio o prodotto ha un costo molto alto e una componente
digitale significativa potrebbe esser ottimo dal punto di vista della sicurezza
ma scarso nelle funzionalità ed affidabilità generale nel tempo.
E’ necessario un ingegnere competente per selezionare la soluzione ottimale
in una data finestra temporale.
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
16
17. Dalle ultime novità tecnologiche…
Invero esiste una microspia ambientale audio e video 24 ore su 24
che ci segue, ci vede e ci ascolta sempre ed in ogni luogo in tempo
reale. E’ molto difficile da disinnescare e mette in seria crisi la
propria privacy personale ed aziendale e i principali sistemi di
difesa e di contromisura.
Chi già ne ha avuto notizia?
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
17
18. Gli smartphone e non solo…
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
18
19. I sistemi di controllo!!!
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
intitle:"netbotz appliance" "OK"
19
20. Alcune misure artigianali di protezione..
Uno smartphone moderno non si spegne mai…l’importanza del frigorifero e del microonde!
Segnale (?) + audio
Segnale (?)
Segnale
Segnale
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
20
21. Soluzioni professionali
1. Primo livello: selezione di un ingegnere dell’informazione di fiducia. Il
vostro smartphone è la mappatura digitale della vostra identità.
2. Secondo livello:
• controllo di presenza di spyware nell’apparecchio;
• storico ed indagine forense sull’apparato;
• bonifica e/o messa in sicurezza.
L’Ordine degli Ingegneri della Provincia di Roma può svolgere un valido ruolo di
garanzia e tutela nell’esercizio di questa professionalità cosi delicata e critica
per la privacy e l’impatto sulla vita di tutti noi.
Grazie.
Francesco Marinuzzi Rif. f.marinuzzi@ording.roma.it(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
21