Corporate Security:                               giro di vite contro gli hacker                                          ...
Emanuele Gentili  Amministratore unico di Tiger Security S.r.l.  Offensive Security Certified Professional Trainer         ...
Obiettivi          ‣ Mostrare lo stato dell’arte in cui versano le aziende nel campo          della sicurezza IT.         ...
Il Panorama Attuale                                                      4                       Corporate Security: giro ...
Il panorama attuale                                ?                                                                      ...
Le macro categorie di utenti                         Studenti                                                       Profes...
Gli utenti della rete internet                                                                                            ...
Introduzione alla sicurezza informatica           Con il termine sicurezza informatica si intende quel ramo dellinformatic...
Informatica Sicurezza Classica               La sicurezza informatica classica trova il proprio fondamento nella difesa pe...
La Sicurezza Informatica Proattiva                  La sicurezza informatica proattiva trova il proprio fondamento nella c...
Il Termine “Hacker”              Un hacker è una persona che si impegna nellaffrontare sfide intellettuali per aggirare o  ...
Il Termine “Hacker”              Un White Hat (letteralmente "cappello bianco"), chiamato anche hacker etico, è un        ...
Le macro categorie di utenti           Un Grey Hat è un hacker esperto le cui attività rientrano a volte in azioni legali ...
Il Termine “Hacker”           Un Black Hat (altrimenti chiamato cracker) è un hacker malintenzionato o con intenti        ...
Le figure professionali che si occupano                            di Sicurezza Informatica               Analisti         ...
La Responsible Disclosure                                                                                              16 ...
La Responsible Disclosure                                                                                              17 ...
La Responsible Disclosure                                                                                              18 ...
La Full Disclosure                                                                                              19        ...
Dark For Business                                                                                              20         ...
Come si comporta un’azienda “violata”                      Non se ne accorge            Formatta/Ripristina              E...
Le aziende oggi                                             CENSORED                                         22           ...
Le aziende oggi                                                                                              23           ...
Casi reali                                               24                      Corporate Security: giro di vite contro g...
Il caso “Equitalia”                                                                                                 25    ...
Il caso “Trenitalia”                                                                                                 26   ...
Web Vulnerability                                                                                              27         ...
Il caso “Ministero della Difesa”                                                                                          ...
Il caso “Vitrociset”                                                                                              29      ...
Il caso “Vitrociset - Reowned”                                                                                            ...
Il caso “Fox”                                             CENSORED                                         31             ...
Il caso “Stratfor”                                                                                              32        ...
Il caso “politici” - Fuck Politicians February                                                                            ...
Metodi di contrasto                       Tipo di attacco           Attività preventiva        Attività di contrasto      ...
Demo attività di intrusione                                                                                              3...
Conclusioni          ‣ Internet non è un posto tranquillo per nessuno specialmente se          si è una azienda, un’istitu...
Grazie per l’attenzione                                                   37                        Corporate Security: gi...
Upcoming SlideShare
Loading in...5
×

Smau Bologna 2012 Gentili-Fratepietro hacker

2,441

Published on

Corporate Security: giro di vite contro gli hacker con analisi di casi reali

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,441
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau Bologna 2012 Gentili-Fratepietro hacker

  1. 1. Corporate Security: giro di vite contro gli hacker con analisi di casi reali Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  2. 2. Emanuele Gentili Amministratore unico di Tiger Security S.r.l. Offensive Security Certified Professional Trainer 2 Security and Cyber Intelligence Advisor European Project Leader in BackTrack Linux - Penetration Test OS http://www.emanuelegentili.eu http://www.tigersecurity.it http://www.twitter.com/emgent http://www.backtrack-linux.org http://it.linkedin.com/in/emanuelegentili http://www.exploit-db.com Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  3. 3. Obiettivi ‣ Mostrare lo stato dell’arte in cui versano le aziende nel campo della sicurezza IT. ‣ Dimostrare l’importanza di investimenti nel campo della security per la protezione della propria immagine, dei propri dati, 3 dei propri clienti e della propria business continuity. ‣ Introdurre l’importanza della formazione del personale per ottenere la sicurezza della infrastruttura aziendale. Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  4. 4. Il Panorama Attuale 4 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  5. 5. Il panorama attuale ? Aziende, Banche e Privati Governo A Governo B Collaborazione Pr ofila z ion ee co 5 ntr ast Pro o filaz ion Att ee i atic Attacchi informatici acc Collaborazione con rm h i in info tra for sto hi m acc atic Att i Ethical Hackers Hacktivisti Black Hat Hacker Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  6. 6. Le macro categorie di utenti Studenti Professionisti e Manager Famiglie ed utenti base 6 Personale aziendale Militari, Forze dell’ordine, Governi Criminali Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  7. 7. Gli utenti della rete internet 7 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  8. 8. Introduzione alla sicurezza informatica Con il termine sicurezza informatica si intende quel ramo dellinformatica che si occupa dellanalisi delle vulnerabilità, del rischio, delle minacce e della successiva protezione dellintegrità software di un sistema informatico e dei dati in esso contenuti o scambiati. -- Wikipedia 8 Terminology Cloud Analisi Prenvezione Investigazione Ricerca Contrasto Controllo Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  9. 9. Informatica Sicurezza Classica La sicurezza informatica classica trova il proprio fondamento nella difesa perimetrale delle infrastrutture e dei dati confidenziali attraverso una progettazione architetturale appositamente ingegnerizzata per essere, almeno secondo la vecchia obsoleta convinzione, definita “sicura”. Questo tipo di approccio è caratterizzato principalmente dall’utilizzo di software 9 anti intrusione ed infezione e da meccanismi di difesa auto e semi automatici. Questo tipo di sicurezza è generalmente definita anche: Sicurezza Difensiva Acquisto i miei bei strumenti di protezione commerciali e progetto la mia rete, con l’ arroganza di ritenermi sicuro ed inviolabile Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  10. 10. La Sicurezza Informatica Proattiva La sicurezza informatica proattiva trova il proprio fondamento nella convinzione che ci sia la reale necessità di provare a penetrare la propria infrastruttura per verificarne la stabilità e la non penetrabilità, prima che lo faccia qualcun’ altro magari con cattive 10 intenzioni. Dan Farmer nel 1993 introduce “finalmente” il concetto di Sicurezza Offensiva progetto la mia rete in modo “sicuro”, metto tutte le protezioni opportune ma poi: VERIFICO (o faccio verificare) SE E’ PENETRABILE. Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  11. 11. Il Termine “Hacker” Un hacker è una persona che si impegna nellaffrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti dinteresse (che di solito comprendono linformatica o l’elettronica), ma in tutti gli aspetti della sua vita. -- Wikipedia 11 White Hat Hacker Grey Hat Hacker Black Hat Hacker Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  12. 12. Il Termine “Hacker” Un White Hat (letteralmente "cappello bianco"), chiamato anche hacker etico, è un hacker che si oppone allabuso dei sistemi informatici. La sua attività è di verifica coordinata e complessiva della sicurezza di una rete e dei sistemi che la compongono, al fine di delineare il livello effettivo di rischio cui sono esposti i dati, e proporre eventuali azioni correttive per migliorare il grado di sicurezza. -- Wikipedia 12 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  13. 13. Le macro categorie di utenti Un Grey Hat è un hacker esperto le cui attività rientrano a volte in azioni legali ed a volte in azioni illegali. Generalmente non opera per tornaconto economico personale diretto ma per ottenere ciò che desidera e’ pronto a svolgere qualsiasi tipo di azione. -- Wikipedia 13 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  14. 14. Il Termine “Hacker” Un Black Hat (altrimenti chiamato cracker) è un hacker malintenzionato o con intenti criminali. Questo termine è spesso utilizzato nel campo della sicurezza informatica e dai programmatori per indicare una persona dalle grandi capacità informatiche, ma con fini illeciti. Questo termine deriva dal sostantivo di significato opposto white hat hacker. Solitamente un black hat è una persona che mantiene segretamente una conoscenza su vulnerabilità ed exploit che trova a proprio vantaggio, non rivelandola al pubblico o al proprietario per correzioni. -- Wikipedia 14 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  15. 15. Le figure professionali che si occupano di Sicurezza Informatica Analisti Architetti della Sicurezza Programmatori 15 Penetration Tester Security Auditor Investigatori Digitali Ricercatori Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  16. 16. La Responsible Disclosure 16 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  17. 17. La Responsible Disclosure 17 https://www.facebook.com/whitehat Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  18. 18. La Responsible Disclosure 18 http://support.apple.com/kb/ht1318 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  19. 19. La Full Disclosure 19 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  20. 20. Dark For Business 20 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  21. 21. Come si comporta un’azienda “violata” Non se ne accorge Formatta/Ripristina Esegue una analisi 10% 21 30% 60% Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  22. 22. Le aziende oggi CENSORED 22 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  23. 23. Le aziende oggi 23 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  24. 24. Casi reali 24 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  25. 25. Il caso “Equitalia” 25 Attacco di tipo DDOS - 10 ore di downtime Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  26. 26. Il caso “Trenitalia” 26 Attacco di tipo DDOS - 1 ora di downtime Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  27. 27. Web Vulnerability 27 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  28. 28. Il caso “Ministero della Difesa” 28 Intrusione e dump dei dati Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  29. 29. Il caso “Vitrociset” 29 Intrusione e Defacement Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  30. 30. Il caso “Vitrociset - Reowned” 30 Intrusione e Defacement Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  31. 31. Il caso “Fox” CENSORED 31 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  32. 32. Il caso “Stratfor” 32 Intrusione, defacement, dump e cancellazione dei dati Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  33. 33. Il caso “politici” - Fuck Politicians February 33 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  34. 34. Metodi di contrasto Tipo di attacco Attività preventiva Attività di contrasto Strumenti di blacklisting e gestione eventi a DDos grande carico (caching, ISP (Lavatrici) bilanciamento) 34 Attività di Penetration SQL Injection, LFI, Test periodiche e pre Web Applicazion RFI, XSS produzione Firewall Formazione del Ingegneria Sociale - personale Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  35. 35. Demo attività di intrusione 35 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  36. 36. Conclusioni ‣ Internet non è un posto tranquillo per nessuno specialmente se si è una azienda, un’istituzione o un personaggio pubblico. ‣ La maggior parte delle incursioni presentate in questo workshop potevano essere EVITATE semplicemente applicando 36 meccanismi di prevenzione e formazione. ‣ Installare una camera IP nella propria azienda per fare video sorveglianza è cosa buona, ma basta non esporla al mondo. Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  37. 37. Grazie per l’attenzione 37 Corporate Security: giro di vite contro gli hacker - Emanuele Gentilisabato 30 giugno 12
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×