La sicurezza delle informazioni nell’era del Web 2.0
Presentazione Tesi di Laurea sulla Sicurezza delle Reti Informatiche: Le vulnerabilità
1. RAFT
Sicurezza delle Reti Informatiche
Le vulnerabilit`a
Riccardo Melioli
27 ottobre 2016
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 1 / 19
2. RAFT
Obiettivi
Obiettivi
Metodi utilizzati per l’attacco e la difesa delle reti informatiche.
Vulnerabilit`a e tool inerenti.
Caso d’uso alla rete INFN di Parma.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 2 / 19
3. RAFT
Cos’`e la Sicurezza informatica
Sicurezza informatica
analisi delle vulnerabilit`a.
analisi del rischio.
analisi delle minacce.
protezione dell’integrit`a logico-funzionale.
Sicurezza delle reti informatiche
verifica della presenza delle vulnerabilit`a nella rete.
sicurezza delle comunicazioni tra i nodi della rete.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 3 / 19
4. RAFT
Perch´e studiarla
Informatizzazione della societ`a
La crescente informatizzazione della societ`a e dei servizi hanno aumentato
progressivamente l’interesse nella sicurezza informatica, in particolare i
settori dove le informazioni sono di importanza critica.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 4 / 19
5. RAFT
Problematiche della sicurezza delle reti
Compromesso Sicurezza-Usabilit`a
Compromesso tra le misure di sicurezza da adottare per proteggere la rete
da accessi indesiderati e l’usabilit`a con cui viene utilizzata.
Presenza Vulnerabilit`a
Presenza di falle che possono compromettere l’intero funzionamento della
rete stessa e l’integrit`a dei nodi da cui `e composta.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 5 / 19
6. RAFT
Definizione
Vulnerabilit`a
Componente di un sistema, in corrispondenza alla quale le misure di
sicurezza possono essere assenti o ridotte, rappresentando un punto
debole del sistema e permettendo ad un eventuale aggressore di
comprometterne il livello di sicurezza.
Le vulnerabilit`a sono dovute a:
Bug del software;
Problematiche dovute al funzionamento di protocolli.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 6 / 19
7. RAFT
Categorizzazione
Categorie di Vulnerabilit`a
Le categorie delle vulnerabilit`a sono identificate in base al tipo di
disservizio che possono causare.
Nell’immagine sono quantificate le vulnerabilit`a, suddivise per tipo di disservizio, rilevate in internet dal 1999 ad Agosto 2016
[CVE Details].
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 7 / 19
8. RAFT
Vulnerability Database
Vulnerability Database
Un Vulnerability Database `e una piattaforma volta a raccogliere,
mantenere e diffondere informazioni sulle vulnerabilit`a scoperte nei
sistemi informatici.
I database di vulnerabilit`a identificano le vulnerabilit`a, tramite le CVE
(Common Vulnerabilities and Exposures) e ne classificano la gravit`a
tramite CVSS.
Ad ogni vulnerabilit`a CVE `e associato uno score CVSS, che `e un valore
tra 0 e 10 stimato in base a delle metriche:
Access Vector;
Integrity;
...
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 8 / 19
9. RAFT
Valutare il livello di sicurezza di un sistema
Vulnerability Assessment
Processo volto a valutare l’efficacia dei meccanismi di sicurezza, si
suddivide nelle seguenti fasi:
1 Individuazione delle vulnerabilit`a.
2 Quantificazione della gravit`a.
3 Assegnazione delle priorit`a.
Vulnerability Scanner
Programmi progettati per ricercare e valutare le vulnerabilit`a di
un’applicazione, di un computer o di una rete.
Solitamente orientati alle grandi reti perci`o effettuano scansioni ad ampio
spettro e non invasive.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 9 / 19
10. RAFT
Nessus
Architettura
Nessus `e strutturato per l’utilizzo di plugin, che lo rendono dinamico e
flessibile, in base al tipo di scansione richiesta. E’ composto da:
Manager: core dell’applicazione.
Interprete NASL: esegue i plugin scritti in linguaggio NASL.
Scansione delle vulnerabilit`a in Nessus
1 Verifica quali host sono attivi nella rete.
2 Effettua port scanning per ogni host attivo.
3 Ricerca le vulnerabilit`a tramite test non invasivi, effettuati con i relativi
plugin.
4 Identifica le vulnerabilit`a tramite confronto con il vulnerability database.
5 Genera un report.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 10 / 19
11. RAFT
Metodologia per la verifica della presenza vulnerabilit`a
Problemi
I Vulnerability scanner possono presentare le seguenti problematiche:
generazione falsi positivi in situazioni dove vi sono sistemi di difesa
(Firewall, Proxy, IDS, ...);
informazioni superficiali a causa della non invasivit`a delle scansioni,
per non compromette i sistemi.
Soluzione
Approfondire le scansioni verificando l’effettiva presenza mediante
l’utilizzo di plugin in NASL opportunamente sviluppati per quelle
vulnerabilit`a.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 11 / 19
12. RAFT
Perch´e utilizzare il linguaggio NASL?
Cos’`e
NASL(Nessus Attack Scripting Language) `e un linguaggio di scripting
specializzato per l’ambito delle reti, che consente di sviluppare plugin in
grado di compiere attacchi a diversi livelli della pila ISO/OSI.
Vantaggi
Semplicit`a: `e provvisto di librerie specializzate per gli attacchi,
rendendo semplice e veloce la creazione di plugin.
Sicurezza: Nessus esegue i plugin isolati dal sistema operativo
dell’attaccante, garantendo il completo anonimato.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 12 / 19
13. RAFT
Caso d’uso: Rete INFN Parma
Obiettivo
Applicare la teoria studiata alla rete INFN, quindi si `e utilizzata la
metodologia precedentemente vista, composta dalle seguenti fasi:
1 Scansione non invasiva delle vulnerabilit`a mediante Nessus.
2 Sviluppo di un plugin che utilizzi una vulnerabilit`a rilevata per
effettuare un attacco, verificandone di conseguenza la presenza.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 13 / 19
14. RAFT
Problematiche nell’effettuare l’attacco
Tutela dei dati e business continuity dell’INFN
Per motivi di privacy dei dati presenti su tali host e per motivi di business
continuity dei progetti INFN, si `e messo a disposizione un honeypot,
appositamente inserito nella rete INFN.
Honeypot
Componente hardware o software che sembra essere parte della rete e
contenere informazioni, ma che in realt`a `e ben isolato e non ha contenuti
sensibili o critici.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 14 / 19
23. RAFT
Plugin in NASL utilizzato per l’attacco
RCE attack (Remote Code Execution)
Attacco che permette all’attaccante di eseguire qualsiasi comando da
remoto su un potenziale obiettivo, che pu`o essere un elaboratore o un
processo eseguito da esso.
Fasi Attacco
1 Identificazione Host e path del file vulnerabile nel server Web.
2 Scelta comando da eseguire sulla macchina della vittima.
3 Formattazione e composizione URI in modo che sfrutti la
vulnerabilit`a.
4 Effettua la richiesta GET dell’URI.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 16 / 19
24. RAFT
ipAddress = get_host_ip ();
port = get_http_port(default :80);
file = prompt(” Path f i l e v u l n e r a b i l e : ”);
param = prompt(”Nome Parametro : ”);
cmd = prompt(”Comando da e s e g u i r e : ”);
cmd = str_replace(string: cmd , find: ” ”, replace: ”
%20”);
finalString = strcat(” http : / / ”, ipAddress , file , ” ? ”,
param , ”=”, cmd);
soc = http_open_socket (port);
request = http_get(port: port , item: finalString);
send(socket:soc , data: request);
resp = http_recv(socket: soc);
http_close_socket (soc);
¥
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 17 / 19
27. RAFT
Conclusioni e Sviluppi Futuri
Conclusioni
Con il presente lavoro sono stati analizzati i metodi utilizzati per l’attacco
e la difesa delle reti informatiche, illustrando con particolare attenzione le
vulnerabilit`a, ed infine con l’applicazione del caso d’uso si `e dimostrato
quando visto.
Sviluppi futuri
Un possibile sviluppo futuro, avendo disponibilit`a di calcolo e di
monitoraggio adeguate, sarebbe di estendere quanto visto ed applicato a
reti di dimensione maggiori.
Riccardo Melioli Sicurezza delle Reti Informatiche 27 ottobre 2016 18 / 19