Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud Computing
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud Computing

on

  • 239 views

Difficoltà provata nelle infrastrutture di reti aziendali, è la mera incapacità di poter risolvere semplici fattori di rischio dovuti alla scorretta conoscenza dei livelli di Sicurezza, applicati ...

Difficoltà provata nelle infrastrutture di reti aziendali, è la mera incapacità di poter risolvere semplici fattori di rischio dovuti alla scorretta conoscenza dei livelli di Sicurezza, applicati sia all'ambiente di sviluppo (Integrated Development Environment) e sia al flusso dei servizi proposti. Con una tecnologia ormai immersa nell'era del Cloud Computing, questi fattori si sono visti amplificare l'esposizione alle minacce provenienti dalla Rete. In questo seminario, verranno analizzati i vari livelli di sicurezza e cercheremo di trovare alcune delle soluzioni a questi fattori diversificati. Gli argomenti trattati nel seminario sono:

- Dati e fattori di rischio negli ambienti di Sviluppo IDE
- Diversificazione negli ambienti di sviluppo
- Livelli e fasce di Sicurezza
- Minacce a riferimento
- Alcune soluzioni ai fattori di rischio

Seminario valido per formazione continua "Professionista Web" (Legge 4/2013) -- Associazione professionale IWA Italy

http://corsi.ipcop.pd.it
http://www.ipcopitalia.com

Statistics

Views

Total Views
239
Views on SlideShare
131
Embed Views
108

Actions

Likes
0
Downloads
1
Comments
0

1 Embed 108

http://www.smau.it 108

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud Computing Presentation Transcript

  • 1. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell'era del Cloud Computing Andrea Patron CEO IPCop Italia http://www.ipcopitalia.com
  • 2. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com ANDREA PATRON http://www.andreapatron.com CEO del sito IPCop Italia, la community dedicata alla distribuzione Linux Firewall più usata al mondo. Mi occupo di Informatica in generale ma nella precisione: • Sviluppo e Programmazione di progetti Informatici attivi nel network e nelle reti delle infrastrutture aziendali, ed applicazioni web in generale, come Gestionali, CRM, CMS ecc. • Amministrazione di sistemi ICT, concentrati al Network, alla consulenza per le reti e servizi dedicati • Con Particolare attenzione alla sicurezza informatica e di indagini forensi attraverso il web • Formazione ed E-Learning per gli attivisti del settore. Con quest'anno il 2014, fondo la mia esperienza e le mie competenze nell'ICT in un periodo ormai consolidato di 20 anni.
  • 3. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com INTERNATIONAL WEBMASTERS ASSOCIATIONhttp://www.iwa.it Partecipazioni Internazionali partecipazioni nazionali IWA è un'associazione internazionale professionale no profit con lo scopo di fornire informazioni per i professionisti del web e dell'ICT. Oltre che a condividere tra i professionisti informazioni ed esperienze e buone pratiche lavorative. Chi espone il marchio IWA è certo di garantire l'impegno e di perseguire le regole Etico professionali definite da IWA.
  • 4. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Perché associarsi INTERNATIONAL WEBMASTERS ASSOCIATIONhttp://www.iwa.it IWA è la prima associazione che dal 1996 raggruppa chi lavora nel web, sia nel settore pubblico che privato. Obiettivo di IWA e creare una rete tra i soci, di parteciparne all'evoluzione e divulgare conoscenze tramite i suoi soci con eventi ed iniziative. IWA Italy ha inoltre rilasciato i primi profili professionali (G3 Web Skill Profiles) in linea con i dettami dell'agenda digitale europea e italiana ed ha avviato accordi di collaborazione con realtà di tutela del lavoro. http://www.skillprofiles.eu media partner Con il supporto di
  • 5. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com SCONTO PROMOZIONALE!!! Quota speciale SMAU euro 50,00 Potrai ottenere uno sconto sulla quota associativa che pagherai euro 50,00 anziché euro 65,00. Lo sconto vale sia per i nuovi soci che per i rinnovi. Per usufruire dello sconto usa in fase di registrazione o rinnovo il seguente promocode: SMAUPADOVA2014 http://www.iwa.it/join
  • 6. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Cosa parleremo in questo seminario? • Daremo una terminologia corretta al Cloud Computing • Apriremo gli scenari Cloud delle Infrastrutture aziendali. • Analizzeremo una serie di Livelli di Sicurezza dell’infrastruttura. • Ne annoteremo le vulnerabilità specificando le minacce. • Daremo delle soluzioni generali a queste minacce. • Vedremo come strutturare l’ambiente di sviluppo attraverso l’analisi di questi livelli di sicurezza. • Tracceremo alcune delle risposte e soluzioni per rendere la nostra attività redditizia.
  • 7. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Viviamo nell’era del Cloud Computing Negli scorsi seminari avevo tracciato un semplice schema di linea temporale dell'evoluzione di Internet. Fino a raggiungere il tempo attuale. 19701960 Continua >> Nasce ARPANET Rete a scopo militare Diffusione ed altre Reti Private Internet è nata circa negli anni '60, durante la Guerra fredda, all'epoca si chiamava ARPANet (Advanced Research Projects Agency) ed era strutturata a nodi, esclusivamente dislocata in USA per scopi militari e non altro.
  • 8. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Viviamo nell’era del Cloud Computing Continua >> 1980 1990 BBS – Reti Private Internet via Dial-up e ISDN in Italia Reti Pubbliche Primi Siti Istituzionali Con l'evoluzione tecnologica negli anni 70, e definitivamente nella prima metà degli anni 80, grazie alla rivoluzione Informatica, ha trovato impiego in traffici di informazioni, presso le reti universitarie, dei campus, per poi distribuirsi in organi più compiessi e legati all'amministrazione pubblica fino a raggiungere poi cos' il nostro paese, anche per il Marketing e l'impression Brand.
  • 9. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Viviamo nell’era del Cloud Computing 2000 2010 Espansione Banda Larga Avvento WiFi Internet Mobile Cloud Computing Data Social Networks Poi arrivò la banda larga, la DSL, ed infine, si spera arrivi, la Cablata e fibra Ottica. Fino ad arrivare a Reti più complesse come il Clouding tuttora proiettato verso il Futuro.
  • 10. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Ma che cos'è realmente questo Cloud Computing? “In informatica con il termine inglese cloud computing (in italiano nuvola informatica) si indica un insieme di tecnologie che permettono, tipicamente sotto forma di un servizio offerto da un provider al cliente, di memorizzare/archiviare e/o elaborare dati (tramite CPU o software) grazie all'utilizzo di risorse hardware/software distribuite e virtualizzate in Rete in un'architettura tipica client-server.” “La correttezza nell'uso del termine è contestata da molti esperti: se queste tecnologie sono viste da alcuni analisti come una maggiore evoluzione tecnologica offerta dalla rete Internet.”
  • 11. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Contestazione nel termine Quindi c'è una contestazione di fondo, perché il Cloud, è si una Evoluzione della Rete, ma alla fine si trasforma in una rimasticazione di definizioni di servizi di Networking tipici, virtualizzati in Hardware e Software. Possiamo affermare che il Cloud non è unicamente un “Deposito di Dati e contenuti” al quale noi possiamo attingere da qualsiasi risorsa o periferica, PC, Tablet, Smartphone, ma si tratta nient'altro che di una rimasticazione di comuni servizi già in attivo da diverso tempo, concentrati in ben noti sistemi Hardware e Software Virtuali. Detto Cloud.
  • 12. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Contestazione nel termine! La Citazione!
  • 13. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Contestazione nel termine! La Citazione! Secondo Richard Stallman la parola Cloud Computing è una rimasticazione di termini Informatici, coniati da profili Manageriali, per avallare decisioni di Marketing e di vendita nella rete informatica, valorizzando o meglio camuffando altri servizi che effettivamente sono di Dominio Pubblico.
  • 14. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Questo è il Cloud Computing? Dropbox, iCloud, Adobe Cloud ecc.. e tanti altri servizi offerti dai più noti ISP sono sempre in effetti “Servizi di Rete” dati a pagamento o a livello promozionale, comunque a fini di controllo Merceologico.
  • 15. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com I Server Virtuali, chiamti VPS, son sempre Cloud Computing Si, ma la specifica parola server, sta a sottintendere che siete voi a redigere e controllare tali servizi e attendibilità di quel server, indipendentemente dal software che vi fanno utilizzare, come Plesk Cpannel o latri pannelli di controllo..
  • 16. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Il Cloud Computing necessita di maggior controllo e sicurezza Da quando son cresciuti ed evoluti, i servizi di Cloud, abbiamo visto impennare gli attacchi informatici attraverso la rete, non solo quelli specifici, ma di tutti i tipi. 14% 23% 22% 91% 100% 0 10 20 30 40 50 60 70 80 90 100 Crescita Attacchi Informatici al Clod Computing Avvisi Vilnerabilità Codice Corrotto, trojans, Exploit, Rootkit Furti Identità, password, backdoors Codice di sviluppo per Miobile Attacchi DDoS diretti ISP Dati Cisco Annual Security Report 2014 basati su Security Intelligence Operations (SIO)
  • 17. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com 56,4% 43,6% Android Tutti gli altri Dispositivi Il Cloud Computing necessita di maggior controllo e sicurezza Dati Cisco Annual Security Report 2014 basati su Security Intelligence Operations (SIO) Il Codice Mobile è il linguaggio di programmazione preso di mira più frequentemente dai criminali informatici. I dati provenienti da Sourcefire, indicano come gli exploit costituiscano la stragrande maggioranza (91%) degli indicatori di compromissione (IOC). Dispositivi Android maggiormente sotto attacco.
  • 18. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Controllo del Cloud Computing Quando voi acquistate un servizio Cloud da un ISP, non ne possedete un vero controllo, perché i vostri dati risiedono in un apparecchi non di vostra competenza. Ecco che il termine Controllo vi si ritorce contro, e vede i vostri dati sotto controllo da parte terzi, che in realtà, non sono in grado di mantenere il corretto sistema di sicurezza. I dati che avete salvato nella “Nuvola” son realmente pubblici e soggetti continuamente ad attacchi, sia in via attiva che passiva.
  • 19. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Abbiamo già assistito a casi eclatanti di attacchi Quindi il livello di vulnerabilità dei nostri dati nel Cloud è molto alto, e tendenzialmente continuerà a salire. Inutile nascondere i fatti, partendo dalle non recenti notizie di attacchi informatici al Cloud, tutte le più grandi multinazionali son già state colpite.
  • 20. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Cloud Computing Toccasana per lo sviluppatore Usare il termine Cloud Computing, vuol dire si anche condividere dati nella nuvola, ma importante è che questi dati siano circoscritti per un utilizzo privato e non pubblico. L'uso del Cloud Computing, per gli sviluppatori è un toccasana per organizzare il proprio ambiente di sviluppo, ma è opportuno utilizzare accorgimenti importanti nello sfruttamento dello stesso.
  • 21. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com VPS e Diversificazione = Cloud Computing La struttura aziendale per quanto piccola o grande che sia, è sempre per forza collegata alla Rete attraverso una sua rete privata. L’importanza della Diversificazione delle reti nell'infrastruttura, per aumentare il rendimento aziendale ma soprattutto la capacità di applicare il controllo sulle stesse. Questa regola è ancora valida per il Cloud.
  • 22. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Cloud Computing as free Technology Buttiamo i classici comodati d'uso, cerchiamo di essere più indipendenti e adottiamo il Cloud come reale evoluzione della rete. Sfruttiamo quindi la virtualità dei servizi che ci vengono messi a disposizione e cominciamo a produrre con il mostro Ambiente di Sviluppo.
  • 23. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Optate per soluzioni Open Source Usate l'Open Source come tecnologia all'avanguardia. Solo con l'Open Source sarete comunque liberi da Licenze che vi impediscono di muovermi in modo proficuo, senza obblighi ne controlli da parte terzi. Solo così potete avere un controllo diretto sui livelli di sicurezza della vostra infrastruttura.
  • 24. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Livelli di Sicurezza nell’Infrastruttura Mostrando questo schema, partendo dal basso identificheremo e poi successivamente specificheremo, le minacce associate per livello e troveremo alcune delle soluzioni per controbatterle.
  • 25. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Primo Livello Fisico - Minacce E contrariamente a quanto si possa pensare il furto degli HD o dei macchinari stessi sono una minaccia fisica reale, che molti non tengono in considerazione.
  • 26. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Primo Livello Fisico - Soluzione Quindi l'utilizzo di un buon un sistema di antifurto non è certo da escludere, prendiamolo seriamente in considerazione.
  • 27. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Secondo Livello di Trasporto e Networking I nostri servizi sono distribuiti attraverso appropriati protocolli, all'interno di Reti. E per private o meno che siano son sempre collegati a internet attraverso il nostro ISP. ISP Router
  • 28. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Livello di Trasporto - Minacce Tra le principali minacce troviamo attacchi MITM. Se la nostra rete non è ben protetta è perseguibile di connessioni provenienti dall'esterno o da altri malintenzionati anche via WiFi. MITM, sta proprio all'acronimo Man In The Middle appunto, uomo che si intromette nel mezzo. E con strumenti di accurate scansioni a Basso livello, sono in grado di contenersi alla nostra Rete e carpire tutti i dati ed il traffico da essa generato. Anche senza che noi ce ne accorgiamo.
  • 29. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Livello di Trasporto - Soluzione Per affrontare questo tipo di minacce, l'unica soluzione è di dotarsi di un apparecchio o anche servizio “Firewall UTM” ben strutturato per verificare, controllare ed impedire intrusioni di questo tipo, meglio se a monte dell'intera infrastruttura. Ovviamente se l'haker si trova internamente alla nostra struttura qui dobbiamo agire in modo diverso.
  • 30. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Terzo Livello dell’Applicativo Questo è il livello più delicato dell'intera infrastruttura, si distribuisce in varie reti non unicamente quella privata LAN, ma anche in quella pubblica DMZ o che sia custodita per conto terzi. In questo livello le minacce da affrontare sono più variegate, e variano in funzione dell'applicazione o servizio che si sta utilizzando, su specifiche porte ICPM.
  • 31. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Terzo Livello dell’Applicativo Ad esempio, per il Web tra Browser e Server Web http si usa la porta 80, per il web criptato la porta 443 Https, 3306 per MySql DB, 21 standard per l'FTP, 22 per i servizi SSH e così via. Queste porte sono assegnate di default da un'organizzazione internazionale (IANA) sulla base delle strutture delle applicazioni. Porta 80 Porta 443 Porta 21 Servizio Server Porta 22 Porta 3306
  • 32. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Terzo Livello dell’Applicativo - Minacce Sulla base di questa struttura, in questo particolare livello, gli hacker possono portare tutti gli attacchi che vogliono utilizzando particolari strumenti per lo scanning. Lo scanning è un processo di cicli di verifica o controllo, fatti sulla base di Indirizzi di rete IP, che gli hacker usano per identificare porte aperte nella nostra rete, consentendone quindi l'accesso ad altri tipi d'attacco, più a basso livello. Molti di questi attacchi provengono dalla Rete Internet o Darknet (per essere mantenuti anonimi), con accessi ai porte di maggiore utilizzo aperte di default, quale FTP, condivisione protocolli, Database, ecc. • Attacchi DDoS • Phishing/Spam • Trojans • Virus • Brute Force • Scan port tought Bug traking
  • 33. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Terzo Livello dell’Applicativo - Soluzioni Per chiudere le porte e quindi mantenere un flusso di traffico blindato è bene utilizzare delle regole dettate da un Firewall (meglio se dotato anche di servizi di filtraggio UTM sia per il traffico in entrata che in uscita), il che controllato da noi, ci permette anche di monitorare ed affiancarne l'utilizzo per Servizi e le applicazioni interessate.
  • 34. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Terzo Livello dell’Applicativo - Soluzioni Ad esempio sulle porte P2P, specifiche, usate da Torrent o Emule che siano, se aperte si possono acconsentire maggiorante a tipi di attacchi di troyans intrusion e malware. Lo stesso vale per i Browser, che in effetti rimangono gli applicativi i più attaccati, poiché la porta 80 Web è quella maggiormente utilizzata in vasta scala dai servizi.
  • 35. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Terzo Livello dell’Applicativo - Soluzioni Stesso vale per i Server Web ed Applications Web, dove si vede la porta 80 maggiormente utilizzata. Ci costringono a tenerla aperta perché il nostro sito o applicazione possa operare in tranquillità, e qui ci porta alla comprensione del quarto ed ultimo livello.
  • 36. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo Ultimo e cruciale livello che effettivamente dobbiamo tener maggiorante in considerazione, perché si appoggia sulla base del nostro lavoro e sviluppo delle applicazioni, cuore dell'infrastruttura.
  • 37. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo Qui entrano in gioco le corrette competenze degli sviluppatori, che non devono far fronte ad una unica metodologia, ma con il diffondersi delle attuali tecnologie su larga scala, vediamo il proliferare e soprattutto l'affiancamento di nuove competenze e la diversificazione di altri profili professionali.
  • 38. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo Chiamarsi Webmaster o Web-designer, o Web-dev non ha alcun senso. Perché ora come ora anche il sottoscritto benché nel corso degli anni abbia acquisito una vasta esperienza sul campo, non può ricoprire ruoli e mansioni uniformemente compattate in un unico profilo.
  • 39. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo Spesso quando si dice che “So Sviluppare... un sito, un'applicazione” lo si attribuisce ad una competenza di sola programmazione, quando in realtà il profilo deve essere a conoscenza di diversi linguaggi di programmazione, e alla fine non si sa realmente che cosa gli compete realmente. • Chi dice di Saper fare tutto • Forse non sa fare niente bene
  • 40. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo Dunque con il livello di sviluppo si tirano in ballo gli sviluppatori, perché è alla creazione del codice che rimane l'ultima risorsa per gestire il livello di protezione di un'applicazione. Gli sviluppatori si distinguono principalmente in 2 categorie: Il Surfista L’incollatore
  • 41. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Il Surfista E' quello cui piace cavalcare l'onda, non glie ne frega nulla di quanto tempo impiegherà per sviluppare un'applicazione perché comunque è bravo e conosce tutti i segreti di qualunque codice. Tanto che può permettersi di scriverlo a mano con un semplice editor di testo, senza curarsi di che cosa gli si presenterà davanti all'utente finale. Quarto Livello lo Sviluppo
  • 42. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com L’Incollatore Chiamato così perché non avendo piene competenze di programmazione se non mediocri, impiega pochissimo a sviluppare un'applicazione perché gli basta fare Copia e Incolla da un altro codice sviluppato, o servirsi di strumenti già pronti per ottenere il risultato finale. Spesso sfrutta programmi già pronti Open Source per poi rivendere il suo operato senza metterci un minimo di fatica o competenza, ne curandosi di che cosa si presenterà all'utente finale, perché tanto è già sicuro di quello che già gli risulterà dal programma. Quarto Livello lo Sviluppo
  • 43. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo Quali tra queste 2 categorie funziona meglio? Il Surfista L’incollatore
  • 44. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo Nessuna delle 2. Perché nessuna tiene diretto controllo del suo operato o quanto meno ne ha veramente coscienza della sua reale mansione. Con l'evoluzione dell'ICT, ormai per ottenere un risultato finale ottimale, occorrono più competenze e gestione dei flussi di lavoro. Il Surfista L’incollatore
  • 45. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo - Minacce Oltretutto questo livello di sicurezza è il più vulnerabile agli attacchi. Se osserviamo qui vediamo una lista di minacce più lunga rispetto ai precedenti. Ovviamente un'applicazione operando sulla porta aperta risulta essere più soggetta ad attacchi. Spetta quindi allo sviluppatore adottare le soluzioni più efficaci, per reprimere questo disagio. • Code Injection. • Malware code. • Snif code. • SQL Injection • Brute force • Rootkit • Exploit • Traceroute • Furto d'identità • Defacciamento siti • Fake Commerce (danni alle vendite) • Altro
  • 46. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo - Soluzioni Soluzione ottimale è la comprensione e consolidare la competenza dello sviluppatore, che deve mettersi in gioco per scrivere o modificare codice pulito per non renderlo soggetto ad eventuali attacchi.
  • 47. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Quarto Livello lo Sviluppo - Soluzioni Quindi prima di tutto, acquisizione delle giuste competenze in merito al codice da scrivere ma anche dalle soluzioni da adottare. Non basta inserire dei campi modulo per poi inviarli ad un'email con un semplice pulsante.
  • 48. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Esempio pratico Nello sviluppo di un'applicazione dove si deve mantenere un'area riservata, l'utente deve effettuare il login tramite le proprie credenziali, oppure effettuare la registrazione per ottenerle, per poter mandare feedback ai contenuti.
  • 49. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Esempio pratico Semplice direte voi, basta un modulo di Login, un modulo di registrazione e poi un modulo di invio di contenuti. Ma come dev'essere scritto questo codice? Mi basta usufruire di Plugin o di codice già scritto da terzi? Oppure riscriverlo a mano impiegando la mia maestosa capacità nel linguaggio di programmazione?
  • 50. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Esempio pratico Se vogliamo tenere le distanze dalle minacce precedentemente elencate, è bene partire dalla base di quei livelli elencati prima. La soluzione è semplice.
  • 51. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Esempio pratico Partiamo dal livello applicazione, dobbiamo tener aperte le porte 80 per il servizio Web e 3306 per la funzionalità della Base Dati (ok MySQL in questo caso). Quindi intervenire sull'autorizzazione specifica di accesso a tali dati. Porta 80 WebServer Porta 3306 MySQL DB
  • 52. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Esempio pratico Ora domandiamoci: ci siamo preoccupati che l'accesso sia garantito esclusivamente al diretto interessato, e che nessun altro possa accedere alla Base dati dall'esterno? Porta aperta 3306 MySQL DB Le minacce di Brute Force sono sempre in agguato.
  • 53. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Esempio pratico Quindi, aprire e consentire accessi tramite autorizzazioni controllate ai servizi necessari, benché le porte siano aperte. Porta Chiusa 3306 accesso dati MySQL DB Bloccato Accesso Dati Consentito Regola Firewall Porta aperta 80 Webapp
  • 54. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Esempio pratico Ora abbiamo la porta 80 aperta doverosamente per il fruire del servizio Web. Nel Nostro caso, il codice se non è scritto accuratamente, può risultare vulnerabile su livello di Sviluppo, come abbiamo visto precedentemente ad attacchi SQL Injection o Code Injection. Porta aperta 80 Webapp Exploit dei Dati causa Iniezione codice malevolo
  • 55. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Che cos'è una SQL Injection? E' un metodo di penetrazione nelle stringhe SQL dei Database, iniettando codice malevolo, per ottenere accessi exploit, rootkit o tanti altri. Il principio si basa sulla conoscenza approfondita delle scritture delle stringhe SQL, ecco un esempio pratico di iniezione SQL. Consideriamo la seguente query: SELECT * FROM Tabella WHERE username='$user' AND password='$pass' $user e $pass sono impostate dall'utente e supponiamo che nessun controllo su di esse venga fatto. Vediamo cosa succede inserendo i seguenti valori: $user = ' or '1' = '1 $pass = ' or '1' = '1 La query risultante sarà: SELECT * FROM Tabella WHERE username='' or '1' = '1' AND password='' or '1' = '1'
  • 56. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Che cos'è una SQL Injection? Quindi se il codice non è scritto correttamente chiunque utilizzi i campi modulo Username e Password, sarà in grado di Iniettare codice nell’elaborazione delle Query. Quindi i risultati dell’iniezione potrebbero essere pericolosi e rendere il codice vulnerabile: Si possono ottenere Exploit di risultati dei dati o quanto altro il codice iniettato possa far risultare, come rootkit o portare al defacciamento del sito o dell’applicazione, se riscontrato da un Bug Traker. Campo $_POST[‘$user’] = Codice Pericoloso a concatenarsi alla Query Campo $_POST[‘$pass’] = Codice Pericoloso a concatenarsi alla Query
  • 57. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Come evitare attacchi SQL Injection? Costruendo un modulo ben strutturato. Per fronteggiare un'eventualità tale la soluzione migliore si divide in diversi processi di scrittura del codice: • Parametrizzate i valori, quindi costruire query parametriche (funzioni parametriche consentite) • Chiudere le stringhe query con le giuste sintassi (;) • Criptare il codice da inviare al DB • Adottare Sistemi di Controllo con algoritmi specifici Ovviamente una volta che il codice ad esempio di una Password è criptato, per un brute force è molto più difficile poter risolvere e avere una risoluzione della stringa.
  • 58. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Livello di Sviluppo - Soluzioni Per fronteggiare tutte le minacce una ad una, ci si serve di diversi metodi, ma per spiegarlo qui adesso, vi devo delegare a seguire un corso specifico dei temi trattati.
  • 59. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Comprensione dei Livelli di Sicurezza La comprensione dei livelli di sicurezza è importante per il corretto utilizzo di un'infrastruttura di sviluppo. Ecco perché suggerisco di non improvvisarsi sviluppatori o geni dello sviluppo, Producendo codice unicamente a mano, ma sfruttate la possibilità di poter utilizzare una ambiente già strutturato, i cosiddetti IDE (Interface Development Enviroment).
  • 60. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Usate le Interface Development Enviroment Quelli presentati qui sono un'ottima base di partenza, che permettono di rendere operativa e redditizia la vostra attività professionale. Alcuni sono Freeware altri a pagamento. Anche i frameworks aiutano parecchio, e una conseguente redditività deriva da un uso appropriato degli stessi.
  • 61. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Utilizzate il Cloud Computing Nel senso di virtualizzazione dell'infrastruttura Workstation. Sperimentate a pianificate scansioni della vostra infrastruttura utilizzando strumenti adatti. E se utilizzate servizi distribuiti da terzi ISP, confrontate e verificate adeguatamente l'infrastruttura e che i Vostri dati siano ben sigillati e non resi vulnerabili. Se proprio volete condividerli pubblicamente al massimo utilizzate dei Servizi VPN certificati, senza avvalervi di ulteriori Host pubblici disastrosamente materializzati o camuffati da servizi di Cloud Computing.
  • 62. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Prendete il controllo dell’Ambiente di Sviluppo Dovete essere voi gli artefici dell'infrastruttura configurata secondo le vostre esigenze, senza delegare altri al possesso dei Vostri dati sensibili. Si ottengono più risultati mantenendo e condividendo i dati in “Casa” che renderli pseudo pubblici.
  • 63. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Lo stesso vale per gli ambienti di sviluppo. Sfruttate la virtualità dell'infrastruttura di servizio per lo sviluppo, nelle Vostre Workstation, e successivamente nella valutazione dei servizi preposti alle applicazioni, verificando le corrette configurazioni e vulnerabilità, pubblicate i contenuti e i dati secondo le Vostre opportune esigenze.
  • 64. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com E-Learning Approfondito Per apprendere al meglio come sfruttare correttamente la tecnologia del Cloud Computing, vi suggerisco di iscrivervi alla Nostra piattaforma di E-learning. Dove a breve saranno presentate nuove serie di corsi e Workshop, non solo sul tema della Sicurezza informatica ma anche sui temi dell'utilizzo delle Infrastrutture di rete e su come rendere redditizie le proprie Strutture aziendali, restando a passo con l'evoluzione dell'ICT.
  • 65. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Piattaforma di E-Learning – Corsi ICT Piattaforma E-Learning su core Docebo® , con lo scopo di Informare ed informatizzare le PMI on line sul mondo dell’ICT, attraverso: http://corsi.ipcop.pd.it PROCEDURA • Registrazione GRATUITA Piattaforma • Iscrizione Corso, Workshop o Webinar
  • 66. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Lista dei Corsi, Webinar e Workshop - ICT • Corsi Formativi e Tecnici • Seminari (Webinar) • Workshop on-line
  • 67. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Corsi Certificati Grazie a IWA Italy I Corsi della Nostra Piattaforma sono certificati per i profili professionali europei ICT di terza generazione (Web Skill Profiles) appartenenti al settore del Web, basandosi sul documento “European ICT Professional Profiles (CWA 16458:2012)” e sui documenti relativi a “E- Competence Framework 2.0” (EC-F 2.0) estesi a livello mondiale coni IWA/HWG, e riconosciuti come realtà di standardizzazione dal CEN.
  • 68. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Anteprima Assoluta – Nuovo Corso A breve sarà disponibile il Corso “Amministratore di rete con IPCop Seconda Edizione”. Tutti gli attuali partecipanti che si sono iscritti o che si iscrivono all’attuale versione del corso 1.4.21, saranno migrati GRATUITAMENTE alla SECONDA EDIZIONE 2.1, senza costi aggiuntivi, e potranno godere dell’offerta limitata: “Amministratore di rete con IPCop Seconda Edizione” al prezzo bloccato di € 99,90 anziché di € 256,00 all’avvio del Nuovo Corso di SECONDA EDIZIONE.
  • 69. Exploit in Ambiente di Sviluppo Livelli di Sicurezza IDE nell’Era del Cloud Compuing http://www.ipcopitalia.com Grazie a tutti Voi per aver Partecipato Ringraziamento Speciale a Giacomo e Nena Per il loro supporto e sostegno. Aula Virtuale IPCop Italia Andrea Patron – CEO IPCop Italia http://www.ipcop.pd.it – http://corsi.ipcop.pd.it Seguiteci sui maggiori Social Networks