SlideShare a Scribd company logo

Summary of “Measuring Security Practices and How They Impact Security”

C
CristianFalvo

Summary of “Measuring Security Practices and How They Impact Security”

Engineering
1 of 7
Download to read offline
UNIVERSITÀ DEGLI STUDI DI TRIESTE Dipartimento di Ingegneria e Architettura Corso di Studi in Ingegneria Elettronica e Informatica Summary of “Measuring Security Practices and How They Impact Security” Tesi di Laurea Triennale Laureando: Cristian FALVO Relatore: prof. Alberto BARTOLI ANNO ACCADEMICO 2019/2020
Sommario Introduzione .........................................................................................................................................3 Metodo di raccolta dati ........................................................................................................................3 Risultati sulle pratiche di sicurezza......................................................................................................4 Sistema operativo .............................................................................................................................4 Aggiornamento software..................................................................................................................4 Siti affidabili.....................................................................................................................................5 HTTPS..............................................................................................................................................5 Antivirus...........................................................................................................................................5 Altri software....................................................................................................................................6 Impatto della “best practice”................................................................................................................6 Conclusione..........................................................................................................................................6 Riferimenti ...........................................................................................................................................7
Introduzione La sicurezza in ambito informatico è una disciplina che, più di altre, richiede il coinvolgimento attivo degli utenti finali. Affinché essa sia efficace, è richiesta una combinazione di strumenti tecnologici specializzati e di una serie di opportuni comportamenti da parte degli utenti stessi. Ciò comporta una serie di scelte legate alla sicurezza, che sono raccolte sotto il nome di “best practice”, “buona pratica”; è interesse degli esperti del settore veicolare al pubblico quali siano queste pratiche da adottare, e fare in modo che esse siano adottate. Purtroppo, però, la validità e l’efficacia di questi suggerimenti non sono ben chiare: innanzi tutto, esistono poche informazioni su quali delle indicazioni fornite siano effettivamente messe in atto dagli utenti; è poco noto, inoltre, se e quanto tali indicazioni garantiscano effettivamente sicurezza, quando sono messe in atto. Questo studio si propone fare luce su questi due temi, svolgendo un’analisi delle pratiche di sicurezza utilizzate da un ampio gruppo di utenti, studenti di un campus universitario, in un lasso di tempo prolungato, sei mesi, concentrando l’analisi su laptop e desktop. In particolare, esso si propone di produrre dati statistici misurabili sui comportamenti (sia positivi che negativi) in relazione alla sicurezza informatica e l’effetto che questi hanno nei casi di effettiva compromissione di una macchina. Metodo di raccolta dati Per la raccolta dati è stato scelto un metodo passivo, ovvero raccolta e successiva analisi di tutto il traffico dei dispositivi appartenenti alla network del campus. Più nello specifico è stato implementato un sistema composto di tre fasi che, prendendo in input il traffico vero e proprio, ha prodotto delle “feature”, caratteristiche, associate ad ogni dispositivo. Nella prima fase vengono raccolti e resi anonimi i dati, e vengono estratte le parti rilevanti del traffico sotto forma di log. Nella fase successiva vengono fatte tutte le associazioni possibili tra indirizzi IP, indirizzi MAC (per i dispositivi nella network) e nomi di dominio (per i server remoti). Ciò è necessario in quanto gli indirizzi IP dei nodi nella network sono gestiti con DHCP, mentre gli indirizzi IP remoti devono essere associati alle risoluzioni DNS, anche in relazione al tempo. Inoltre, in questo momento sono estratti gli User Agent dagli header delle connessioni HTTP. Nell’ultima fase i log vengono processati per estrarre informazioni su software in uso, traffico e per individuare i casi di compromissione (ovvero, attacchi informatici che hanno avuto successo). Nell’arco dei sei mesi di raccolta dati sono stati processati 758TB di dati. L’insieme dei dispositivi rilevati viene successivamente filtrato per separare laptop e desktop, oggetto dello studio, dagli altri dispositivi (IoT, smartphone, console…) e contestualmente viene identificato il sistema operativo per ogni macchina. A seguito di quest’operazione, emergono 15291 PC. Gli autori dello studio osservano delle possibili limitazioni legate al contesto in analisi: trattandosi di un campus universitario, occupato da studenti, i comportamenti che si analizzano sono limitati dall’omogeneità della popolazione; non è da escludere che, a parità di metodo, gruppi di utenti diversi producano risultati diversi.
Risultati sulle pratiche di sicurezza I risultati dello studio descrivono quantitativamente e in dettaglio le abitudini degli utenti in relazione alla sicurezza, ed inoltre confrontano i comportamenti dei dispositivi che hanno riportato una compromissione con quelli dei dispositivi che non ne hanno riportate. A questo riguardo, un dato importante e di carattere generale è il numero di dispositivi compromessi nel periodo analizzato: 682, corrispondenti al 4.5% della popolazione studiata. L’analisi dei risultati è suddivisa su più aspetti della “best practice”: sistema operativo, aggiornamento software, navigazione su siti fidati, uso di HTTPS e altri software utilizzati. Sistema operativo Il SO (Sistema Operativo) in uso su un sistema è un fattore di rischio: i SO più diffusi sono anche quelli più attaccati. La distribuzione, mostrata in Figura 1, è divisa quasi equamente tra Windows e Mac OS, più un numero esiguo di sistemi con ChromeOS e Linux. La distribuzione dei dispositivi compromessi mostra un risultato decisamente diverso, con i sistemi Windows che rappresentano il 79% del totale (538 casi). Ciò significa che i sistemi Windows hanno una probabilità maggiore della media (7% contro 4.5%) di essere attaccati con successo. Aggiornamento software La “best practice” sicuramente più sostenuta dagli esperti è tenere il sistema e i software aggiornati. Lo studio analizza i pattern di aggiornamento dei SO, dei browser, e di Adobe Flash player. L’analisi sull’aggiornamento dei sistemi operativi si concentra su MacOS e Windows; si osserva fin da subito che i sistemi Windows sono allo stesso tempo maggiormente colpiti dagli attacchi e più diligenti nell’applicare le patch, se confrontati con i sistemi MacOS. Più in particolare, se l’84% dei dispositivi Windows ha installato almeno un update nel periodo analizzato, solo il 29% dei Mac ha fatto lo stesso; inoltre, la distanza tra il rilascio di un aggiornamento e la sua installazione è in media di 2.5 giorni per i sistemi Windows, e 16 giorni per i sistemi MacOS. Per quanto riguarda i browser, l’analisi mostra un risultato simile ad uno precedente: i sistemi compromessi effettuano l’aggiornamento ad una nuova versione prima della controparte. Si osserva inoltre che gli incidenti di sicurezza cambiano le abitudini degli utenti: sui dispositivi che usano Chrome, il tempo medio per aggiornare il browser è passato da 19 a 14 giorni in seguito all’incidente. In ultimo, Adobe Flash player è un software molto diffuso, nonché comunemente considerato un software rischioso dal punto di vista della sicurezza. Anche in questo caso si osservano risultati inattesi: i dispositivi compromessi, in media, aggiornano più tempestivamente il software di quelli non compromessi, e i dispositivi con Flash non aggiornato hanno subito meno attacchi di quelli con Flash aggiornato (4.8% contro 8.1%). In generale, nel caso di sistemi Windows, la percentuale di incidenti non varia sensibilmente in presenza o assenza di Flash player; questo rappresenta un Figura 1: classificazione dei SO dei dispositivi analizzati: numero totale di dispositivi e di dispositivi compromessi
successo nella gestione della sicurezza del software, in quanto non è un fattore di rischio particolarmente rilevante. Siti affidabili Per quanto riguarda le buone pratiche di navigazione web, “visitare siti noti e affidabili” e “usare sempre HTTPS quando possibile” sono le più consigliate. Per l’analisi dei domini visitati lo studio si è basato sulla classificazione dei domini dell’IAB (International Advertising Bureau), che distingue tra 404 categorie di domini. Si osserva come i dispositivi non compromessi visitano maggiormente contenuti di business, pubblicità e marketing, mentre i dispositivi compromessi visitano più domini legati a videogiochi e hobby, nonché domini “non categorizzati”, di sicurezza informatica e di contenuti illegali. HTTPS Per quanto riguarda l’utilizzo di HTTPS, va osservato che spesso il suo uso non dipende dall’utente, quanto dal sito visitato, nonché dal SO e dal browser. Ciò detto, si osserva una media di domini visitati con HTTPS rispetto ad HTTP del 77.6%, e i valori non si discostano particolarmente al variare di sistema operativo e browser; inoltre, questo rapporto non sembra essere nemmeno correlato con la distribuzione degli incidenti di sicurezza. Una correlazione che appare in modo evidente è quella tra quantità di traffico e compromissione dei sistemi: come mostra il grafico in figura 2, i dispositivi che hanno subito un attacco visitano in media più domini della controparte. Antivirus Gli antivirus sono anch’essi tra le soluzioni di sicurezza più diffuse, tanto che nel campus oggetto dello studio esiste l’obbligo di averne uno installato per accedere ad Internet. Anche a causa di quest’obbligo, oltre il 70% dei dispositivi usa un antivirus gratuito o preinstallato dal SO (Windows Defender). Sebbene sia ovvio, è importante osservare che quasi tutti gli attacchi sono stati effettuati con malware che gli antivirus non hanno individuato. Tabella 1: tipi di contenuti visitati maggiormente da dispositivi non compromessi e compromessi Figura 2: Distribuzione del numero di domini diversi visitati in media per settimana
Altri software Dai dati raccolti sono estratte numerose informazioni sui software utilizzati dai dispositivi; nella tabella 2 sono mostrati i software maggiormente correlati con le compromissioni, e il confronto della percentuale di incidenti nei casi in cui il software è o non è installato. Alcuni di questi dati indicano una correlazione forte tra il software e il rischio di compromissione: Adobe AIR, condivisione file P2P (Peer-to-Peer), Mozilla Thunderbird e Tor; alcuni di questi (servizi P2P e Tor) sono notoriamente associati ad un elevato rischio di sicurezza. Impatto della “best practice” L’ultimo obiettivo che questo studio si pone è valutare l’impatto relativo delle caratteristiche individuate precedentemente nei confronti degli incidenti di sicurezza. Le proprietà più influenti sono estratte dall’insieme completo usando un modello di regressione logistica, e ordinate usando un algoritmo di eliminazione “greedy”. Effettuando un’analisi generale, si osserva che i fattori maggiormente correlati alle compromissioni sono quasi tutti legati ai comportamenti di navigazione degli utenti, in modo pressoché indipendente da altri fattori quali ad esempio il sistema operativo in uso. Questo aspetto è ulteriormente evidenziato concentrando l’analisi sull’ora di tempo precedente agli incidenti di sicurezza, che rappresenta un momento chiave nei casi di compromissione. In questo caso, tutti i fattori di maggiore impatto sono categorie di siti visitati dagli utenti (secondo la classificazione descritta precedentemente), come mostrato dalla tabella 3. Conclusione I risultati di questo studio hanno permesso di comprendere l’estensione e l’effetto delle pratiche di sicurezza, ed in particolare di quantificare il loro effetto in un contesto reale. I sistemi informatici sono per loro natura estremamente complessi, ed analizzarne anche solo un aspetto è un processo arduo: molti dei risultati ottenuti mostrano correlazioni tra proprietà di un sistema e rischio, ma non permettono di dare una spiegazione del perché esistano queste correlazioni, ed in molti casi richiederebbero un approfondimento dedicato. Il risultato di gran lunga più importante è però aver elevato la “best practice” da un insieme di suggerimenti assoluti ad indicazioni informate e supportate da evidenza scientifica. Tabella 2: caratteristiche associate a compromissioni. Il p-value è associato al test chi quadrato. Tabella 3: Maggiori fattori di rischio ad un'ora dalla compromissione. I valori di AUC (Area Under Curve) rappresentano, intuitivamente, l'impatto relativo della caratteristica negli episodi di compromissione.
Riferimenti DeKoven, L. F., Randall, A., Mirian, A., Akiwate, G., Blume, A., Saul, L. K., . . . Savage, S. (2019). Measuring Security Practices and How They Impact Security. IMC '19: Proceedings of the Internet Measurement Conference, 36–49. doi:https://doi.org/10.1145/3355369.3355571

Recommended

Summary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - SlidesSummary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - SlidesCristianFalvo
 
Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017Fabio Vernacotola
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...TommasoBaldo
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingGiuliaMilan4
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 

Recommended

Summary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - SlidesSummary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - SlidesCristianFalvo
 
Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017Fabio Vernacotola
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...TommasoBaldo
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingGiuliaMilan4
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...MichaelFuser
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoMaccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoStefano Maccaglia
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Marco Morana
 
Smoohs
SmoohsSmoohs
Smoohsritaiuav
 
Smoo hs
Smoo hsSmoo hs
Smoo hsritaiuav
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...FabioDalCol
 
Old_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativiOld_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativiEmanuele Florindi
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Open Source
Open SourceOpen Source
Open SourceFrancesco Taurino
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemAndreaValente20
 
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...Paolo Nesi
 
Presentazione Laurea Magistrale
Presentazione Laurea MagistralePresentazione Laurea Magistrale
Presentazione Laurea MagistraleUniversità Degli Studi Di Salerno
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 

More Related Content

Similar to Summary of “Measuring Security Practices and How They Impact Security”

Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...MichaelFuser
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoMaccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoStefano Maccaglia
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Marco Morana
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...FabioDalCol
 
Old_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativiOld_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativiEmanuele Florindi
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemAndreaValente20
 
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...Paolo Nesi
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 

Similar to Summary of “Measuring Security Practices and How They Impact Security” (20)

Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
Progetto e sviluppo di un sistema di rilevamento di anomalie su sistemi infor...
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoMaccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologico
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
 
Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'
 
Smoohs
SmoohsSmoohs
Smoohs
 
Smoo hs
Smoo hsSmoo hs
Smoo hs
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
 
Old_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativiOld_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativi
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Open Source
Open SourceOpen Source
Open Source
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystem
 
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
Sistemi Distribuiti part 5: P2P systems: from simple to distributed P2P trust...
 
Presentazione Laurea Magistrale
Presentazione Laurea MagistralePresentazione Laurea Magistrale
Presentazione Laurea Magistrale
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 

Summary of “Measuring Security Practices and How They Impact Security”

  • 1. UNIVERSITÀ DEGLI STUDI DI TRIESTE Dipartimento di Ingegneria e Architettura Corso di Studi in Ingegneria Elettronica e Informatica Summary of “Measuring Security Practices and How They Impact Security” Tesi di Laurea Triennale Laureando: Cristian FALVO Relatore: prof. Alberto BARTOLI ANNO ACCADEMICO 2019/2020
  • 2. Sommario Introduzione .........................................................................................................................................3 Metodo di raccolta dati ........................................................................................................................3 Risultati sulle pratiche di sicurezza......................................................................................................4 Sistema operativo .............................................................................................................................4 Aggiornamento software..................................................................................................................4 Siti affidabili.....................................................................................................................................5 HTTPS..............................................................................................................................................5 Antivirus...........................................................................................................................................5 Altri software....................................................................................................................................6 Impatto della “best practice”................................................................................................................6 Conclusione..........................................................................................................................................6 Riferimenti ...........................................................................................................................................7
  • 3. Introduzione La sicurezza in ambito informatico è una disciplina che, più di altre, richiede il coinvolgimento attivo degli utenti finali. Affinché essa sia efficace, è richiesta una combinazione di strumenti tecnologici specializzati e di una serie di opportuni comportamenti da parte degli utenti stessi. Ciò comporta una serie di scelte legate alla sicurezza, che sono raccolte sotto il nome di “best practice”, “buona pratica”; è interesse degli esperti del settore veicolare al pubblico quali siano queste pratiche da adottare, e fare in modo che esse siano adottate. Purtroppo, però, la validità e l’efficacia di questi suggerimenti non sono ben chiare: innanzi tutto, esistono poche informazioni su quali delle indicazioni fornite siano effettivamente messe in atto dagli utenti; è poco noto, inoltre, se e quanto tali indicazioni garantiscano effettivamente sicurezza, quando sono messe in atto. Questo studio si propone fare luce su questi due temi, svolgendo un’analisi delle pratiche di sicurezza utilizzate da un ampio gruppo di utenti, studenti di un campus universitario, in un lasso di tempo prolungato, sei mesi, concentrando l’analisi su laptop e desktop. In particolare, esso si propone di produrre dati statistici misurabili sui comportamenti (sia positivi che negativi) in relazione alla sicurezza informatica e l’effetto che questi hanno nei casi di effettiva compromissione di una macchina. Metodo di raccolta dati Per la raccolta dati è stato scelto un metodo passivo, ovvero raccolta e successiva analisi di tutto il traffico dei dispositivi appartenenti alla network del campus. Più nello specifico è stato implementato un sistema composto di tre fasi che, prendendo in input il traffico vero e proprio, ha prodotto delle “feature”, caratteristiche, associate ad ogni dispositivo. Nella prima fase vengono raccolti e resi anonimi i dati, e vengono estratte le parti rilevanti del traffico sotto forma di log. Nella fase successiva vengono fatte tutte le associazioni possibili tra indirizzi IP, indirizzi MAC (per i dispositivi nella network) e nomi di dominio (per i server remoti). Ciò è necessario in quanto gli indirizzi IP dei nodi nella network sono gestiti con DHCP, mentre gli indirizzi IP remoti devono essere associati alle risoluzioni DNS, anche in relazione al tempo. Inoltre, in questo momento sono estratti gli User Agent dagli header delle connessioni HTTP. Nell’ultima fase i log vengono processati per estrarre informazioni su software in uso, traffico e per individuare i casi di compromissione (ovvero, attacchi informatici che hanno avuto successo). Nell’arco dei sei mesi di raccolta dati sono stati processati 758TB di dati. L’insieme dei dispositivi rilevati viene successivamente filtrato per separare laptop e desktop, oggetto dello studio, dagli altri dispositivi (IoT, smartphone, console…) e contestualmente viene identificato il sistema operativo per ogni macchina. A seguito di quest’operazione, emergono 15291 PC. Gli autori dello studio osservano delle possibili limitazioni legate al contesto in analisi: trattandosi di un campus universitario, occupato da studenti, i comportamenti che si analizzano sono limitati dall’omogeneità della popolazione; non è da escludere che, a parità di metodo, gruppi di utenti diversi producano risultati diversi.
  • 4. Risultati sulle pratiche di sicurezza I risultati dello studio descrivono quantitativamente e in dettaglio le abitudini degli utenti in relazione alla sicurezza, ed inoltre confrontano i comportamenti dei dispositivi che hanno riportato una compromissione con quelli dei dispositivi che non ne hanno riportate. A questo riguardo, un dato importante e di carattere generale è il numero di dispositivi compromessi nel periodo analizzato: 682, corrispondenti al 4.5% della popolazione studiata. L’analisi dei risultati è suddivisa su più aspetti della “best practice”: sistema operativo, aggiornamento software, navigazione su siti fidati, uso di HTTPS e altri software utilizzati. Sistema operativo Il SO (Sistema Operativo) in uso su un sistema è un fattore di rischio: i SO più diffusi sono anche quelli più attaccati. La distribuzione, mostrata in Figura 1, è divisa quasi equamente tra Windows e Mac OS, più un numero esiguo di sistemi con ChromeOS e Linux. La distribuzione dei dispositivi compromessi mostra un risultato decisamente diverso, con i sistemi Windows che rappresentano il 79% del totale (538 casi). Ciò significa che i sistemi Windows hanno una probabilità maggiore della media (7% contro 4.5%) di essere attaccati con successo. Aggiornamento software La “best practice” sicuramente più sostenuta dagli esperti è tenere il sistema e i software aggiornati. Lo studio analizza i pattern di aggiornamento dei SO, dei browser, e di Adobe Flash player. L’analisi sull’aggiornamento dei sistemi operativi si concentra su MacOS e Windows; si osserva fin da subito che i sistemi Windows sono allo stesso tempo maggiormente colpiti dagli attacchi e più diligenti nell’applicare le patch, se confrontati con i sistemi MacOS. Più in particolare, se l’84% dei dispositivi Windows ha installato almeno un update nel periodo analizzato, solo il 29% dei Mac ha fatto lo stesso; inoltre, la distanza tra il rilascio di un aggiornamento e la sua installazione è in media di 2.5 giorni per i sistemi Windows, e 16 giorni per i sistemi MacOS. Per quanto riguarda i browser, l’analisi mostra un risultato simile ad uno precedente: i sistemi compromessi effettuano l’aggiornamento ad una nuova versione prima della controparte. Si osserva inoltre che gli incidenti di sicurezza cambiano le abitudini degli utenti: sui dispositivi che usano Chrome, il tempo medio per aggiornare il browser è passato da 19 a 14 giorni in seguito all’incidente. In ultimo, Adobe Flash player è un software molto diffuso, nonché comunemente considerato un software rischioso dal punto di vista della sicurezza. Anche in questo caso si osservano risultati inattesi: i dispositivi compromessi, in media, aggiornano più tempestivamente il software di quelli non compromessi, e i dispositivi con Flash non aggiornato hanno subito meno attacchi di quelli con Flash aggiornato (4.8% contro 8.1%). In generale, nel caso di sistemi Windows, la percentuale di incidenti non varia sensibilmente in presenza o assenza di Flash player; questo rappresenta un Figura 1: classificazione dei SO dei dispositivi analizzati: numero totale di dispositivi e di dispositivi compromessi
  • 5. successo nella gestione della sicurezza del software, in quanto non è un fattore di rischio particolarmente rilevante. Siti affidabili Per quanto riguarda le buone pratiche di navigazione web, “visitare siti noti e affidabili” e “usare sempre HTTPS quando possibile” sono le più consigliate. Per l’analisi dei domini visitati lo studio si è basato sulla classificazione dei domini dell’IAB (International Advertising Bureau), che distingue tra 404 categorie di domini. Si osserva come i dispositivi non compromessi visitano maggiormente contenuti di business, pubblicità e marketing, mentre i dispositivi compromessi visitano più domini legati a videogiochi e hobby, nonché domini “non categorizzati”, di sicurezza informatica e di contenuti illegali. HTTPS Per quanto riguarda l’utilizzo di HTTPS, va osservato che spesso il suo uso non dipende dall’utente, quanto dal sito visitato, nonché dal SO e dal browser. Ciò detto, si osserva una media di domini visitati con HTTPS rispetto ad HTTP del 77.6%, e i valori non si discostano particolarmente al variare di sistema operativo e browser; inoltre, questo rapporto non sembra essere nemmeno correlato con la distribuzione degli incidenti di sicurezza. Una correlazione che appare in modo evidente è quella tra quantità di traffico e compromissione dei sistemi: come mostra il grafico in figura 2, i dispositivi che hanno subito un attacco visitano in media più domini della controparte. Antivirus Gli antivirus sono anch’essi tra le soluzioni di sicurezza più diffuse, tanto che nel campus oggetto dello studio esiste l’obbligo di averne uno installato per accedere ad Internet. Anche a causa di quest’obbligo, oltre il 70% dei dispositivi usa un antivirus gratuito o preinstallato dal SO (Windows Defender). Sebbene sia ovvio, è importante osservare che quasi tutti gli attacchi sono stati effettuati con malware che gli antivirus non hanno individuato. Tabella 1: tipi di contenuti visitati maggiormente da dispositivi non compromessi e compromessi Figura 2: Distribuzione del numero di domini diversi visitati in media per settimana
  • 6. Altri software Dai dati raccolti sono estratte numerose informazioni sui software utilizzati dai dispositivi; nella tabella 2 sono mostrati i software maggiormente correlati con le compromissioni, e il confronto della percentuale di incidenti nei casi in cui il software è o non è installato. Alcuni di questi dati indicano una correlazione forte tra il software e il rischio di compromissione: Adobe AIR, condivisione file P2P (Peer-to-Peer), Mozilla Thunderbird e Tor; alcuni di questi (servizi P2P e Tor) sono notoriamente associati ad un elevato rischio di sicurezza. Impatto della “best practice” L’ultimo obiettivo che questo studio si pone è valutare l’impatto relativo delle caratteristiche individuate precedentemente nei confronti degli incidenti di sicurezza. Le proprietà più influenti sono estratte dall’insieme completo usando un modello di regressione logistica, e ordinate usando un algoritmo di eliminazione “greedy”. Effettuando un’analisi generale, si osserva che i fattori maggiormente correlati alle compromissioni sono quasi tutti legati ai comportamenti di navigazione degli utenti, in modo pressoché indipendente da altri fattori quali ad esempio il sistema operativo in uso. Questo aspetto è ulteriormente evidenziato concentrando l’analisi sull’ora di tempo precedente agli incidenti di sicurezza, che rappresenta un momento chiave nei casi di compromissione. In questo caso, tutti i fattori di maggiore impatto sono categorie di siti visitati dagli utenti (secondo la classificazione descritta precedentemente), come mostrato dalla tabella 3. Conclusione I risultati di questo studio hanno permesso di comprendere l’estensione e l’effetto delle pratiche di sicurezza, ed in particolare di quantificare il loro effetto in un contesto reale. I sistemi informatici sono per loro natura estremamente complessi, ed analizzarne anche solo un aspetto è un processo arduo: molti dei risultati ottenuti mostrano correlazioni tra proprietà di un sistema e rischio, ma non permettono di dare una spiegazione del perché esistano queste correlazioni, ed in molti casi richiederebbero un approfondimento dedicato. Il risultato di gran lunga più importante è però aver elevato la “best practice” da un insieme di suggerimenti assoluti ad indicazioni informate e supportate da evidenza scientifica. Tabella 2: caratteristiche associate a compromissioni. Il p-value è associato al test chi quadrato. Tabella 3: Maggiori fattori di rischio ad un'ora dalla compromissione. I valori di AUC (Area Under Curve) rappresentano, intuitivamente, l'impatto relativo della caratteristica negli episodi di compromissione.
  • 7. Riferimenti DeKoven, L. F., Randall, A., Mirian, A., Akiwate, G., Blume, A., Saul, L. K., . . . Savage, S. (2019). Measuring Security Practices and How They Impact Security. IMC '19: Proceedings of the Internet Measurement Conference, 36–49. doi:https://doi.org/10.1145/3355369.3355571