Your SlideShare is downloading. ×
0
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna

189

Published on

Al giorno d’oggi la scena dell’(in)sicurezza informatica, in particolar modo all’interno delle aziende e delle organizzazioni Italiane (PA, PMI, Enterprise, Corporate) è stata prepotentemente invasa …

Al giorno d’oggi la scena dell’(in)sicurezza informatica, in particolar modo all’interno delle aziende e delle organizzazioni Italiane (PA, PMI, Enterprise, Corporate) è stata prepotentemente invasa dal tema APT. Bisogna realmente preoccuparsi di questo “nuovo” genere di minacce ? Sono davvero così diffuse e pericolose o sono di gran lunga sopravalutate, nella speranza che si crei un nuovo mercato artificiale in favore di qualche vendor ? Nel corso dell’intervento saranno riportate le esperienze, REALI, relative ad un anno di attività Security Assessment svolte all’interno delle aziende Italiane. In questo contesto si cercherà di sensibilizzare la platea relativamente alle minacce che costituiscono un pericolo concreto per la sicurezza delle aziende e delle organizzazioni Italiane.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
189
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 15/10/2012 APT Demistified 1/20 APT DEMYSTIFIED STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE Francesco Perna
  • 2. 15/10/2012 APT Demistified 2/20 Chi sono • Appassionato di Computer dai primi anni ‘90 (invece del pallone di cuoio mio padre mi ha regalato un 8086 J ) e di Sicurezza Informatica da almeno 15 anni • Security Researcher e Analyst • Socio dell’associazione culturale telematica Metro Olografix • Socio e responsabile tecnico di Quantum Leap srl, una società di consulenza che offre servizi di Sicurezza Informatica ad aziende ed organizzazioni • http://it.linkedin.com/in/francescoperna
  • 3. 15/10/2012 APT Demistified 3/20 Di cosa si parlerà • Demistificazione delle Minacce Avanzate e Persistenti (APT). Timeline dei principali attacchi rilevati, modelli di infezione adottati e analisi dei costi • Vulnerabilità non «Avanzate» che minano la Sicurezza delle reti delle aziende Italiane. Troppo spesso queste vulnerabilità sono poco considerate, sottovalutate o non conosciute • Dell’impato sulla Sicurezza causato da tecniche e tools noti da almeno 10 anni • Contromisure da adottare per difendersi dalle Minacce avanzate e persistenti
  • 4. 15/10/2012 APT Demistified 4/20 0-DAY OR NO WAY … ADVANCED PERSISTENT THREAT
  • 5. 15/10/2012 APT Demistified 5/20 Gli attacchi sono ad ampio spettro: •Vulnerabilità note unpatched, 0day, Internet Attacks •Device infetti (Memorie, USB Stick, Tampered Device) •Vulnerabilità infrastrutturali •Social Engineering, insider agent L’agente di minaccia esegue una missione: •La persistenza è intesa come la capacità di poter completare gli obiettivi richiesti quando richiesto. •Non è detto che venga eseguito costantemente del codice sul sistema attaccato La minaccia non è costituita solo da malware: •Dietro ai malware c’è un gruppo organizzato di persone motivate, organizzate e ben finanziate che compiono azioni all’interno dell’infrastruttura attaccata (data exfiltration, sabotaggio, intelligence, …) Advanced Persistent Threats ADVANCED PERSISTENT THREATS
  • 6. 15/10/2012 APT Demistified 6/20 APT Timeline eventi più significativi
  • 7. 15/10/2012 APT Demistified 7/20 Anatomia di un attacco Malware Deployment •Network Attack •Social Engineering •Rogue Devices Setup C&C Communications C&C Control •Ricognizione •Furto di documenti •Sabotaggio •Spionaggio •Denial Of Service Persistenza nel perimetro •Diffusione su altri sistemi all’interno dell’infrastruttura •Occultamento
  • 8. 15/10/2012 APT Demistified 8/20 Stuxnet, stima dei costi
  • 9. 15/10/2012 APT Demistified 9/20 LE MINACCE ITALIANE CHI HA PAURA DEGLI APT ?
  • 10. 15/10/2012 APT Demistified 10/20 Ha davvero senso preoccuparsi ? • La tipica Azienda o Organizzazione Italiana è ben lontana da dover temere le minacce di questo tipo • Poiché la Sicurezza è vista troppo spesso soltanto come un costo, non sono implementate le contromisure necessarie a garantirne un livello adeguato rispetto ai processi aziendali • Nelle slide successive saranno riportati alcuni esempi di Insicurezza Aziendale riscontrati nel corso delle attività di PenTest effettuate nel 2012 • Le Aziende di altri paesi non sono molto diverse in termini di sicurezza (basta pensare ad RSA, Stratfor, Sony, ecc.)
  • 11. 15/10/2012 APT Demistified 11/20 «NON È POSSIBILE DALL’ESTERNO ARRIVARE IN QUESTO PUNTO DELLA RETE» INSICUREZZA DELLA RETE FISICA
  • 12. 15/10/2012 APT Demistified 12/20 Metodi per l’accesso fisico • Per accesso fisico ad una rete in genere si intende l’accesso effettuato utilizzando il cavo di rete attestato sull’infrastrutura aziendale • Un’estensione dell’accesso fisico avviene per mezzo delle tecnologie wireless o di accesso remoto • Per garantire la sicurezza della rete bisogna garantire la sicurezza • Dei canali fisici per l’accesso alla rete • Dei locali e infrastrutture che consentono di accedere ai canali fisici della rete
  • 13. 15/10/2012 APT Demistified 13/20 (in)sicurezza dei locali
  • 14. 15/10/2012 APT Demistified 14/20 (in)sicurezza della rete ethernet
  • 15. 15/10/2012 APT Demistified 15/20 (in)sicurezza di altri accessi wired • Cavi «dismessi» • Rack aperti • Grovigli di cavi • Wall-Plug • Esistono i vampiri ? Sicuro, ma l’aglio non serve J
  • 16. 15/10/2012 APT Demistified 16/20 (in)sicurezza degli accessi wireless • Wifi 802.11* • Open Network • Weak Crypto / Pass-phrase deboli • WPA Generated Key, quanti la cambiano ? • Guest Network • GPRSUMTS APN • Closed User Group questo sconosciuto • TESTTEST non si nega a nessuno • Other RF (Bluetooth, Zigbee, Custom RF)
  • 17. 15/10/2012 APT Demistified 17/20 (in)sicurezza degli accessi legacy
  • 18. 15/10/2012 APT Demistified 18/20 «LA NOSTRA RETE È SICURA: ABBIAMO FIREWALL, IDS, IPS, …» INSICUREZZA DELLA RETE LOGICA
  • 19. 15/10/2012 APT Demistified 19/20 Principi di design di una rete sicura • Gli apparati di rete impiegati devono essere dimensionati correttamente • La rete, oltre che per questioni legate alla sicurezza, deve essere segmentata • I protocolli di rete non necessari per gli utenti, non devono essere esposti sulle reti dove essi sono attestati
  • 20. 15/10/2012 APT Demistified 20/20 Questa è la nostra rete • 2 Router, 1 Firewall ed un pizzico di follia J • Il router «Internet PRIV» instrada le VPN oltre al traffico internet generico • Un agente di minaccia può occuparsi degli attacchi senza doversi preoccupare delle contromisure
  • 21. 15/10/2012 APT Demistified 21/20 Switch in Fail Open • Per garantire la continuità operativa gli switch, in determinate condizioni di «stress», iniziano ad operare come se fossero degli hub • Non sempre questo comportamento è determinato da azioni compiute da un agente di minaccia • Microsoft, misconfigured, NLB cluster • Troppi ClientServer attestati sull’infrastruttura
  • 22. 15/10/2012 APT Demistified 22/20 Man in the middle • Nei primi anni 2000 sono stati svilupati degli attacchi diretti alle reti switched che consentono di poter intercettare il traffico • Negli anni seguenti sono state sviluppate le contromisure necessarie a proteggere le reti da questi attachi • Nel 2012 riscontriamo che …
  • 23. 15/10/2012 APT Demistified 23/20 Man in the middle • Non è cambiato niente http://blackhats.it/it/papers/Slides-mitm.pdf
  • 24. 15/10/2012 APT Demistified 24/20 Protocolli di gestione della rete • Sistemi di asset management cercano, OVUNQUE SULLA RETE, i dispositivi per mezzo delle community SNMP • Repository delle configurazioni degli apparati di rete, e di sicurezza, non adeguatamente protetti • Le configurazioni includono password, community SNMP, subnet e altre informazioni utili per portare a termine attacchi strutturati all’interno dell’infrastruttura attaccata
  • 25. 15/10/2012 APT Demistified 25/20 «I NOSTRI PROGRAMMATORI SONO DEGLI EX HACKER CHE ORA SONO BUONI» INSICUREZZA NEL MONDO DELLE APPLICAZIONI
  • 26. 15/10/2012 APT Demistified 26/20 (in)sicurezza nel software Il mio codice funziona meglio di quello nella libreria o Conoscevamo già quella vulnerabilità Quello non è un bug, è una feature Carenze nei meccanismi di validazione e neutralizzazione dell’input Controllo d’accesso … Client Side Password in chiaro
  • 27. 15/10/2012 APT Demistified 27/20 Protezione offerta dagli anti virus • msfpayload windows/meterpreter/bind_tcp X > moca_x86_tcp_4444.exe
  • 28. 15/10/2012 APT Demistified 28/20 Protezione offerta dagli anti virus • msfpayload windows/x64/meterpreter/bind_tcp X > moca_x64_tcp_4444.exe
  • 29. 15/10/2012 APT Demistified 29/20 Il problema degli anti virus • Stando alle risposte ricevute dai vendor, questo comportamento non può essere considerato una vulnerabilità, in quanto mancano soltanto le signature • Sebbene la risposta sia formalmente corretta, il fatto che gli antivirus non riescano ad identificare minacce a 64 bit costituisce una vulnerabilità • The truth is, consumer-grade antivirus products can’t protect against targeted malware created by well-resourced nation-states with bulging budgets. They can protect you against run-of-the-mill malware: banking trojans, keystroke loggers and e-mail worms. But targeted attacks like these go to great lengths to avoid antivirus products on purpose – Mikko Hypponen
  • 30. 15/10/2012 APT Demistified 30/20 «L’UNICO RISULTATO OTTENIBILE FACENDO DEI SISTEMI A PROVA DI IDIOTA, È QUELLO DI SFIDARE DIO A FARE DEGLI IDIOTI PIÙ IDIOTI DI PRIMA» MINACCE PERSISTENTI REALI
  • 31. 15/10/2012 APT Demistified 31/20 Il fattore umano
  • 32. 15/10/2012 APT Demistified 32/20 Il fattore umano • Un utente medio riesce a clickare più velocemente di quanto riesca a pensare • Per quanto ci si sforzi di fare security awarness, dato un subset di cose da non fare, gli utenti le faranno • Data una limitazione imposta per ragioni di security, gli utenti troveranno un modo per bypassarla

×