Sicurezza informatica quando_la_proattività_fa_sicurezza

  • 1,053 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,053
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Sicurezza Informatica Quando la proattività fa sicurezza. Emanuele Gentili Alberto Tumminello Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 2. Emanuele Gentili Tiger Security S.r.l. Amministratore Delegato Security and Cyber Intelligence Advisor Back|Track Linux Project Leader The Exploit Database Co-Founder Offensive Security Certified Professional (OSCP) Certified Trainer http://www.tigersecurity.it http://www.emanuelegentili.eu http://www.backtrack-linux.org http://www.twitter.com/emgent http://www.exploit-db.com http://www.linkedin.com/in/emanuelegentili Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 3. Alberto Tumminello Back|Track Italian Community Coordinatore Offensive Security Wireless Professional (OSWP) Certified Security Consultant Penetration Tester Privacy Consultant http://www.backtrack.it http://it.linkedin.com/pub/alberto-tumminello/16/81a/a54 Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 4. Summary ‣ Sicurezza Informatica Classica Vs Sicurezza Informatica Proattiva ‣ Back|Track Linux - Il progetto internazionale ‣ Back|Track Linux - Italian Community ‣ Bad Guy Vs Ethical Hackers ‣ Cronistoria dei colpi notevoli di quest’ anno (HBGary Federal, MySQL.com, ESA.int) ‣ Ma la sicurezza delle reti senza fili? ‣ Conclusioni ‣ Q/A Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 5. Sicurezza Informatica Classica VS Sicurezza Informatica Proattiva Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 6. Sicurezza Informatica Classica La sicurezza informatica classica trova il proprio fondamento nella difesa perimetrale delle infrastrutture e dei dati confidenziali attraverso una progettazione architetturale appositamente ingegnerizzata per essere, almeno secondo la vecchia obsoleta convinzione, definita “sicura”. Questo tipo di approccio è caratterizzato principalmente dall’utilizzo di software anti intrusione ed infezione e da meccanismi di difesa auto e semi automatici. Questo tipo di sicurezza è generalmente definita anche: Sicurezza Difensiva Acquisto i miei bei strumenti di protezione commerciali e progetto la mia rete, con l’ arroganza di ritenermi sicuro ed inviolabile Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 7. Sicurezza Informatica Proattiva La sicurezza informatica proattiva trova il proprio fondamento nella convinzione che ci sia la reale necessità di provare a penetrare la propria infrastruttura per verificarne la stabilità e la non penetrabilità, prima che lo faccia qualcun’ altro magari con cattive intenzioni. Dan Farmer nel 1993 introduce “finalmente” il concetto di Sicurezza Offensiva progetto la mia rete in modo “sicuro”, metto tutte le protezioni opportune ma poi: VERIFICO (o faccio verificare) SE E’ PENETRABILE. Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 8. Back|Track Linux Il progetto Internazionale Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 9. Back|Track Linux Il progetto Internazionale Distribuzione GNU/Linux Live installabile per attività di intelligence e di Penetration Test. Oltre 600 tools per svolgere test di sicurezza ed investigazione. Rispetto delle Metodologie STANDARD internazionali OSSTMM, OWASP, OSINT. Quasi due milioni di download unici ( 1,985,943 - 18 Aprile 2011) Sviluppata e gestita da due società del settore Utilizzata da enti di intelligence e reparti governativi della difesa. Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 10. Back|Track Linux Il progetto Internazionale Cyber Defense Exercise “ Se avessi avuto Back|Track Linux qualche anno fa, mi avrebbe fatto risparmiare molto tempo.” Kevin D. Mitnick “ Back|Track è la via più veloce per andare dal boot del sistema locale all’ accesso root del sistema che vuoi attaccare ” H.D. Moore “ Back|Track è l’ arma utilizzata dai ninja hacker. ” Johnny Long www.nsa.gov Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 11. Back|Track Linux Il progetto Internazionale Master di Certificazione Sicurezza Offensiva Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 12. Back|Track Linux Italian Community Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 13. Back|Track Linux Italian Community Back|Track Italia nasce come community su volontà di Emanuele Gentili, fondatore di Tiger Security, coordinatore e cofondatore di Back|Track Linux, con lo scopo di fornire supporto e quantaltro ad una distribuzione "Speciale" come Back|Track 4. Concluso un periodo iniziale di assestamento, di controllo e gestione dei canali di comunicazione (blog, twitter, facebook, irc e del portale web) dopo la conferenza italiana svoltasi ad Orvieto, inizia a svilupparsi tra i partecipanti la volontà di far crescere la community, assumendo incarichi e responsabilità. Questo ha gettato le basi per porre in cantiere vari progetti da poter poi rendere disponibili gratuitamente a tutti gli utilizzatori. Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 14. Back|Track Linux Italian Community Framework e Documentazione Primo fra tutti il progetto Framework voluto da Carlo "Brigante" Velletri . Il progetto framework già regolarmente avviato e in corso di ulteriore sviluppo comprende una serie di chiarimenti, e spiegazioni, in stile Wiki sia su argomenti tecnici sia sui pacchetti applicativi contenuti in Back|Track Linux. Spesso sono presenti approfondimenti video direttamente creati dalla comunità italiana. Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 15. Back|Track Linux Italian Community Osservatorio Sicurezza Reti Wireless Losservatorio sulle reti wireless nasce come progetto interno della comunità di Back|Track ed è finalizzato alla promozione di materiale per sensibilizzare il cittadino ad un uso più scrupoloso e sicuro delle connessioni wireless. Lampia diffusione di queste tecnologie ha migliorato ed arricchito le esperienze di navigazione di molti utenti ma non sempre questo è accompagnato da unadeguata preparazione al loro utilizzo e alla loro messa in sicurezza. Ciò comporta gravi rischi per la tutela della propria privacy e di dati sensibili come dati bancari, transazioni commerciali etc. Back|Track Italia si occupa quindi anche di promuovere ricerche e studi statistici per verificare e informare gli utenti sugli impatti e i rischi che possono essere provocati da una cattiva gestione della propria rete. Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 16. Back|Track Linux Italian Community Hacking Lab (1) Il desiderio condiviso da parte della community Back|Track Italia di avere un sistema sempre disponibile e raggiungibile da qualsiasi accesso internet dove poter testare gli ultimi security advisory e vulnerabiltà note ha dato vita al progetto denominato Hacking Lab. Tramite un laboratorio virtuale totalmente gestito dallo staff di Back|Track Italia si offre la possibilità agli amanti della distribuzione di potersi calare nella figura dellhacker e provare in tutta libertà ogni genere di attacco nel tentativo di avere accesso alla macchina. Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 17. Back|Track Linux Italian Community Hacking Lab (1I) I vantaggi di questo progetto ( di prossima uscita :-) ) ‣Sicurezza da parte dellattaccante: essendo questo un laboratorio virtuale, l utente che si cimenterà nelle vesti dell attaccante potrà in tranquillità approfondire tecniche di vario tipo e genere accrescendo le proprie competenze professionali. ‣Nessuna vittima reale: le infrastrutture del laboratorio sono auto rigenerate, questo permette a chi è nelle vesti dell’ attaccante di non doversi curare o spaventare in caso di danneggiamento, essendo posto così nelle condizioni di sperimentare ed apprendere senza alcuna paura o pressione. ‣Disponbilità del laboratorio: quest’ultimo sarà online h24/7 con la possibilità di apprendere nuovi attacchi sulle macchine messe a disposizione ogni volta che lo si desidera. ‣Attrezzatura Reale: il laboratorio sarà più somigliante possibile ad una infrastruttura reale, offendo vari sistemi operativi ospitanti classiche configurazioni paragonabili a quelle reali. ‣Livelli di Difficoltà: Ci saranno diversi livelli di difficoltà specifici per ogni livello di utenza. Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 18. Back|Track Linux Italian Community Progetto Forensics (I) Il progetto di Analisi Informatica Forense vuole creare una raccolta di documentazione e suggerire una metodologia sia in ambito tecnico che in ambito giuridico a chi si avvicina a questa nuova disciplina che è e sarà sempre più presente nelle aule di giustizia e non solo. Per raggiungere questo scopo abbiamo deciso di creare un laboratorio di informatica forense. In tal modo, grazie al contributo di tutti coloro che parteciperanno al progetto, sarà possibile raccogliere documentazione, esperienze di lavoro, strumenti e metodologie nonchè testare le tecniche conosciute ed approcciarne di nuove. In cosa consiste il Laboratorio di Informatica Forense? Il laboratorio è stato pensato come un ambiente multifunzionale che dovrà permettere di: Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 19. Back|Track Linux Italian Community Progetto Forensics (II) ‣ Gestire gli accessi in modalità sicura per chi vorrà contribuire o semplicemente usufruire del progetto; ‣Creare dei casi di studio inserendo la storia del caso, i personaggi coinvolti a vario titolo, le immagini dei supporti informatici contenenti le evidenze digitali degli apparati elettronici coinvolti; ‣Registrare allinterno di un sistema informatico le attività svolte per lindividuazione delle evidenze, così che le metodologie e le tecniche utilizzate possano essere analizzate da altri utenti del Laboratorio per apprendimento o per proporre approcci diversi sul caso; ‣Raccogliere documentazione e strumenti formando una vera e propria biblioteca digitale; Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 20. Bad Guy Vs Ethical Hacker Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 21. Bad Guy Vi dice qualcosa il termine “Black Hat” ? Criminali Informatici mercenari pronti a fare qualsiasi cosa per guadagnare soldi. Utilizzano la rete per penetrare i vostri sistemi o ancora meglio quelli di facoltosi enti governativi e militari (spionaggio). Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 22. Bad Guy ... come al mercato del pesce. Acquirente: A quanto sta il merluzzo ? Black Hat: 9 euro al kg. Acquirente: A quanto invece le carte di credito Visa Gold? Black Hat: 3 euro l’ una. Il venditore fa parte di un’organizzazione (delle carte di credito... non del pesce -.- ) criminale nota anche come: Russian Business Network! Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 23. Cronistoria dei colpi rappresentativi di questo anno ( HBGary Federal, MySQL.com, ESA.int ) Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 24. HBGary Federal Aaron Baar, ex CEO di HBGary Federal, in conferenza stampa ha annunciato un patto d’acciaio con l’FBI per l’individuazione del gruppo internazionale che si cela ad oggi dietro ad Anonymous (Gruppo di supporto a WikiLeaks). Il gruppo di hacker attivisti e politicizzati penetra i sistemi dell’azienda, estrae le informazioni riservate (email) e le pubblica in rete. http://hbgary.anonleaks.ch/ Aaron Baar è costretto a lasciare la guida dell’azienda per le imbarazzanti conversazioni e strategie descritte nei documenti pubblicati. Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 25. MySQL.com Il sito internet ufficiale del famoso database, ora in mano alla multinazionale Oracle, viene violato ed i dati di accesso degli sviluppatori e dei clienti business vengono pubblicati in full disclosure. Nota Interessante: Il sito internet di MySQL è stato intruso utilizzando una tecnica nota di attacco web chiamata SQL INJECTION. Per chi non sta ridendo: E’ come se il rapinatore (MySQL) venisse svaligiato mentre deposita i propri i soldi in banca da un altro rapinatore (MSSQL). Se ancora non state ridendo: http://it.wikipedia.org/wiki/SQL_injection Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 26. ESA.int - European Space Agecny 17/04/2011 Il blog di alcuni Black Hat di nazionalità Rumena riporta le evidenze di un attacco conseguito con successo alle piattaforme della European Space Agency. Credenziali di uscita ed entrata nella intranet, accessi a progetti e (forse) accesso ai sistemi di gestione satellitare. http://tinkode27.baywords.com/european-space-agency-esa-int-hacked-full-disclosure/ Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 27. Non commentiamo ulteriormente questi avvenimenti perché non ci piace influenzare le vostre idee. Preferiamo esclusivamente citarli per stimolarvi alla riflessione sullo stato dell’arte della Sicurezza Informatica. Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 28. Ma... la sicurezza delle reti senza fili? ( Tratto da una storia vera) Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 29. Quale sicurezza? “ Con Back|Track Linux anche mia nonna saprebbe “crackare” una rete Wifi. ” Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 30. Primo STEP Individuazione obbiettivo Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 31. Secondo STEP Acquisizione pacchetti Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 32. Terzo STEP Cracking Effettuato Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 33. Conclusioni ( e quindi? ) Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 34. Grazie per l’ Attenzione Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12
  • 35. Domande ? Ancona - 19 Aprile 2011 - Sicurezza Informatica: quando la proattività fa sicurezza. Emanuele Gentili ed Alberto Tumminellomartedì 3 luglio 12