SlideShare a Scribd company logo

APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna

Q
qlsrl

Al giorno d’oggi la scena dell’(in)sicurezza informatica, in particolar modo all’interno delle aziende e delle organizzazioni Italiane (PA, PMI, Enterprise, Corporate) è stata prepotentemente invasa dal tema APT. Bisogna realmente preoccuparsi di questo “nuovo” genere di minacce ? Sono davvero così diffuse e pericolose o sono di gran lunga sopravalutate, nella speranza che si crei un nuovo mercato artificiale in favore di qualche vendor ? Nel corso dell’intervento saranno riportate le esperienze, REALI, relative ad un anno di attività Security Assessment svolte all’interno delle aziende Italiane. In questo contesto si cercherà di sensibilizzare la platea relativamente alle minacce che costituiscono un pericolo concreto per la sicurezza delle aziende e delle organizzazioni Italiane.

Technology
1 of 32
Download to read offline
15/10/2012 APT Demistified 1/20 APT DEMYSTIFIED STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE Francesco Perna
15/10/2012 APT Demistified 2/20 Chi sono • Appassionato di Computer dai primi anni ‘90 (invece del pallone di cuoio mio padre mi ha regalato un 8086 J ) e di Sicurezza Informatica da almeno 15 anni • Security Researcher e Analyst • Socio dell’associazione culturale telematica Metro Olografix • Socio e responsabile tecnico di Quantum Leap srl, una società di consulenza che offre servizi di Sicurezza Informatica ad aziende ed organizzazioni • http://it.linkedin.com/in/francescoperna
15/10/2012 APT Demistified 3/20 Di cosa si parlerà • Demistificazione delle Minacce Avanzate e Persistenti (APT). Timeline dei principali attacchi rilevati, modelli di infezione adottati e analisi dei costi • Vulnerabilità non «Avanzate» che minano la Sicurezza delle reti delle aziende Italiane. Troppo spesso queste vulnerabilità sono poco considerate, sottovalutate o non conosciute • Dell’impato sulla Sicurezza causato da tecniche e tools noti da almeno 10 anni • Contromisure da adottare per difendersi dalle Minacce avanzate e persistenti
15/10/2012 APT Demistified 4/20 0-DAY OR NO WAY … ADVANCED PERSISTENT THREAT
15/10/2012 APT Demistified 5/20 Gli attacchi sono ad ampio spettro: •Vulnerabilità note unpatched, 0day, Internet Attacks •Device infetti (Memorie, USB Stick, Tampered Device) •Vulnerabilità infrastrutturali •Social Engineering, insider agent L’agente di minaccia esegue una missione: •La persistenza è intesa come la capacità di poter completare gli obiettivi richiesti quando richiesto. •Non è detto che venga eseguito costantemente del codice sul sistema attaccato La minaccia non è costituita solo da malware: •Dietro ai malware c’è un gruppo organizzato di persone motivate, organizzate e ben finanziate che compiono azioni all’interno dell’infrastruttura attaccata (data exfiltration, sabotaggio, intelligence, …) Advanced Persistent Threats ADVANCED PERSISTENT THREATS
15/10/2012 APT Demistified 6/20 APT Timeline eventi più significativi
15/10/2012 APT Demistified 7/20 Anatomia di un attacco Malware Deployment •Network Attack •Social Engineering •Rogue Devices Setup C&C Communications C&C Control •Ricognizione •Furto di documenti •Sabotaggio •Spionaggio •Denial Of Service Persistenza nel perimetro •Diffusione su altri sistemi all’interno dell’infrastruttura •Occultamento
15/10/2012 APT Demistified 8/20 Stuxnet, stima dei costi
15/10/2012 APT Demistified 9/20 LE MINACCE ITALIANE CHI HA PAURA DEGLI APT ?
15/10/2012 APT Demistified 10/20 Ha davvero senso preoccuparsi ? • La tipica Azienda o Organizzazione Italiana è ben lontana da dover temere le minacce di questo tipo • Poiché la Sicurezza è vista troppo spesso soltanto come un costo, non sono implementate le contromisure necessarie a garantirne un livello adeguato rispetto ai processi aziendali • Nelle slide successive saranno riportati alcuni esempi di Insicurezza Aziendale riscontrati nel corso delle attività di PenTest effettuate nel 2012 • Le Aziende di altri paesi non sono molto diverse in termini di sicurezza (basta pensare ad RSA, Stratfor, Sony, ecc.)
15/10/2012 APT Demistified 11/20 «NON È POSSIBILE DALL’ESTERNO ARRIVARE IN QUESTO PUNTO DELLA RETE» INSICUREZZA DELLA RETE FISICA
15/10/2012 APT Demistified 12/20 Metodi per l’accesso fisico • Per accesso fisico ad una rete in genere si intende l’accesso effettuato utilizzando il cavo di rete attestato sull’infrastrutura aziendale • Un’estensione dell’accesso fisico avviene per mezzo delle tecnologie wireless o di accesso remoto • Per garantire la sicurezza della rete bisogna garantire la sicurezza • Dei canali fisici per l’accesso alla rete • Dei locali e infrastrutture che consentono di accedere ai canali fisici della rete
15/10/2012 APT Demistified 13/20 (in)sicurezza dei locali
15/10/2012 APT Demistified 14/20 (in)sicurezza della rete ethernet
15/10/2012 APT Demistified 15/20 (in)sicurezza di altri accessi wired • Cavi «dismessi» • Rack aperti • Grovigli di cavi • Wall-Plug • Esistono i vampiri ? Sicuro, ma l’aglio non serve J
15/10/2012 APT Demistified 16/20 (in)sicurezza degli accessi wireless • Wifi 802.11* • Open Network • Weak Crypto / Pass-phrase deboli • WPA Generated Key, quanti la cambiano ? • Guest Network • GPRSUMTS APN • Closed User Group questo sconosciuto • TESTTEST non si nega a nessuno • Other RF (Bluetooth, Zigbee, Custom RF)
15/10/2012 APT Demistified 17/20 (in)sicurezza degli accessi legacy
15/10/2012 APT Demistified 18/20 «LA NOSTRA RETE È SICURA: ABBIAMO FIREWALL, IDS, IPS, …» INSICUREZZA DELLA RETE LOGICA
15/10/2012 APT Demistified 19/20 Principi di design di una rete sicura • Gli apparati di rete impiegati devono essere dimensionati correttamente • La rete, oltre che per questioni legate alla sicurezza, deve essere segmentata • I protocolli di rete non necessari per gli utenti, non devono essere esposti sulle reti dove essi sono attestati
15/10/2012 APT Demistified 20/20 Questa è la nostra rete • 2 Router, 1 Firewall ed un pizzico di follia J • Il router «Internet PRIV» instrada le VPN oltre al traffico internet generico • Un agente di minaccia può occuparsi degli attacchi senza doversi preoccupare delle contromisure
15/10/2012 APT Demistified 21/20 Switch in Fail Open • Per garantire la continuità operativa gli switch, in determinate condizioni di «stress», iniziano ad operare come se fossero degli hub • Non sempre questo comportamento è determinato da azioni compiute da un agente di minaccia • Microsoft, misconfigured, NLB cluster • Troppi ClientServer attestati sull’infrastruttura
15/10/2012 APT Demistified 22/20 Man in the middle • Nei primi anni 2000 sono stati svilupati degli attacchi diretti alle reti switched che consentono di poter intercettare il traffico • Negli anni seguenti sono state sviluppate le contromisure necessarie a proteggere le reti da questi attachi • Nel 2012 riscontriamo che …
15/10/2012 APT Demistified 23/20 Man in the middle • Non è cambiato niente http://blackhats.it/it/papers/Slides-mitm.pdf
15/10/2012 APT Demistified 24/20 Protocolli di gestione della rete • Sistemi di asset management cercano, OVUNQUE SULLA RETE, i dispositivi per mezzo delle community SNMP • Repository delle configurazioni degli apparati di rete, e di sicurezza, non adeguatamente protetti • Le configurazioni includono password, community SNMP, subnet e altre informazioni utili per portare a termine attacchi strutturati all’interno dell’infrastruttura attaccata
15/10/2012 APT Demistified 25/20 «I NOSTRI PROGRAMMATORI SONO DEGLI EX HACKER CHE ORA SONO BUONI» INSICUREZZA NEL MONDO DELLE APPLICAZIONI
15/10/2012 APT Demistified 26/20 (in)sicurezza nel software Il mio codice funziona meglio di quello nella libreria o Conoscevamo già quella vulnerabilità Quello non è un bug, è una feature Carenze nei meccanismi di validazione e neutralizzazione dell’input Controllo d’accesso … Client Side Password in chiaro
15/10/2012 APT Demistified 27/20 Protezione offerta dagli anti virus • msfpayload windows/meterpreter/bind_tcp X > moca_x86_tcp_4444.exe
15/10/2012 APT Demistified 28/20 Protezione offerta dagli anti virus • msfpayload windows/x64/meterpreter/bind_tcp X > moca_x64_tcp_4444.exe
15/10/2012 APT Demistified 29/20 Il problema degli anti virus • Stando alle risposte ricevute dai vendor, questo comportamento non può essere considerato una vulnerabilità, in quanto mancano soltanto le signature • Sebbene la risposta sia formalmente corretta, il fatto che gli antivirus non riescano ad identificare minacce a 64 bit costituisce una vulnerabilità • The truth is, consumer-grade antivirus products can’t protect against targeted malware created by well-resourced nation-states with bulging budgets. They can protect you against run-of-the-mill malware: banking trojans, keystroke loggers and e-mail worms. But targeted attacks like these go to great lengths to avoid antivirus products on purpose – Mikko Hypponen
15/10/2012 APT Demistified 30/20 «L’UNICO RISULTATO OTTENIBILE FACENDO DEI SISTEMI A PROVA DI IDIOTA, È QUELLO DI SFIDARE DIO A FARE DEGLI IDIOTI PIÙ IDIOTI DI PRIMA» MINACCE PERSISTENTI REALI
15/10/2012 APT Demistified 31/20 Il fattore umano
15/10/2012 APT Demistified 32/20 Il fattore umano • Un utente medio riesce a clickare più velocemente di quanto riesca a pensare • Per quanto ci si sforzi di fare security awarness, dato un subset di cose da non fare, gli utenti le faranno • Data una limitazione imposta per ragioni di security, gli utenti troveranno un modo per bypassarla

Recommended

Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMAU
 
Cybercrime
CybercrimeCybercrime
Cybercrimeciii_inginf
 
Intrusion prevention system tecniche di evasione avanzate test di una soluzi...
Intrusion prevention system tecniche di evasione avanzate test di una soluzi...Intrusion prevention system tecniche di evasione avanzate test di una soluzi...
Intrusion prevention system tecniche di evasione avanzate test di una soluzi...Università degli Studi di Milano - Sede di Crema
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
 
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
 
IT Governance
IT GovernanceIT Governance
IT GovernanceLuca Moroni ✔✔
 

Recommended

Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMAU
 
Cybercrime
CybercrimeCybercrime
Cybercrimeciii_inginf
 
Intrusion prevention system tecniche di evasione avanzate test di una soluzi...
Intrusion prevention system tecniche di evasione avanzate test di una soluzi...Intrusion prevention system tecniche di evasione avanzate test di una soluzi...
Intrusion prevention system tecniche di evasione avanzate test di una soluzi...Università degli Studi di Milano - Sede di Crema
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
 
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
 
IT Governance
IT GovernanceIT Governance
IT GovernanceLuca Moroni ✔✔
 
Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Luca Moroni ✔✔
 
Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Luca Moroni ✔✔
 
Presentazione sicurezza
Presentazione sicurezzaPresentazione sicurezza
Presentazione sicurezzariminese77
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011mircobova
 
Zini smoothwall front_end_grafico_iptables
Zini smoothwall front_end_grafico_iptablesZini smoothwall front_end_grafico_iptables
Zini smoothwall front_end_grafico_iptablesIvan Zini
 
SMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaSMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaAndrea Patron
 
Smau Milano 2010 Isabelle Poncet
Smau Milano 2010 Isabelle Poncet Smau Milano 2010 Isabelle Poncet
Smau Milano 2010 Isabelle Poncet SMAU
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevanteRedazione InnovaPuglia
 
Smau Milano 2014 Giuseppe Augiero
Smau Milano 2014 Giuseppe AugieroSmau Milano 2014 Giuseppe Augiero
Smau Milano 2014 Giuseppe AugieroSMAU
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Luca_Moroni
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Securityraffaele_forte
 
Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaBabel
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoI3P
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA SecurityEnzo M. Tieghi
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint OverviewLeonardo Antichi
 

More Related Content

What's hot

Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Luca Moroni ✔✔
 
Presentazione sicurezza
Presentazione sicurezzaPresentazione sicurezza
Presentazione sicurezzariminese77
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011mircobova
 
Zini smoothwall front_end_grafico_iptables
Zini smoothwall front_end_grafico_iptablesZini smoothwall front_end_grafico_iptables
Zini smoothwall front_end_grafico_iptablesIvan Zini
 
SMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaSMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaAndrea Patron
 
Smau Milano 2010 Isabelle Poncet
Smau Milano 2010 Isabelle Poncet Smau Milano 2010 Isabelle Poncet
Smau Milano 2010 Isabelle Poncet SMAU
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Smau Milano 2014 Giuseppe Augiero
Smau Milano 2014 Giuseppe AugieroSmau Milano 2014 Giuseppe Augiero
Smau Milano 2014 Giuseppe AugieroSMAU
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Luca_Moroni
 

What's hot (16)

Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45
 
Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014
 
Presentazione sicurezza
Presentazione sicurezzaPresentazione sicurezza
Presentazione sicurezza
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011
 
Zini smoothwall front_end_grafico_iptables
Zini smoothwall front_end_grafico_iptablesZini smoothwall front_end_grafico_iptables
Zini smoothwall front_end_grafico_iptables
 
SMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaSMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informatica
 
Smau Milano 2010 Isabelle Poncet
Smau Milano 2010 Isabelle Poncet Smau Milano 2010 Isabelle Poncet
Smau Milano 2010 Isabelle Poncet
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensics
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevante
 
Smau Milano 2014 Giuseppe Augiero
Smau Milano 2014 Giuseppe AugieroSmau Milano 2014 Giuseppe Augiero
Smau Milano 2014 Giuseppe Augiero
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
 

Similar to APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna

Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaBabel
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoI3P
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA SecurityEnzo M. Tieghi
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017SMAU
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Data Driven Innovation
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Smau milano 2012 giuseppe paterno
Smau milano 2012 giuseppe paternoSmau milano 2012 giuseppe paterno
Smau milano 2012 giuseppe paternoSMAU
 
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Enzo M. Tieghi
 
Presentazione ITATIS 2012
Presentazione ITATIS 2012Presentazione ITATIS 2012
Presentazione ITATIS 2012ITATIS S.r.l.
 

Similar to APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna (20)

Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezza
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativo
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 
Smau milano 2012 giuseppe paterno
Smau milano 2012 giuseppe paternoSmau milano 2012 giuseppe paterno
Smau milano 2012 giuseppe paterno
 
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
 
Presentazione ITATIS 2012
Presentazione ITATIS 2012Presentazione ITATIS 2012
Presentazione ITATIS 2012
 

APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE - Francesco Perna

  • 1. 15/10/2012 APT Demistified 1/20 APT DEMYSTIFIED STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE Francesco Perna
  • 2. 15/10/2012 APT Demistified 2/20 Chi sono • Appassionato di Computer dai primi anni ‘90 (invece del pallone di cuoio mio padre mi ha regalato un 8086 J ) e di Sicurezza Informatica da almeno 15 anni • Security Researcher e Analyst • Socio dell’associazione culturale telematica Metro Olografix • Socio e responsabile tecnico di Quantum Leap srl, una società di consulenza che offre servizi di Sicurezza Informatica ad aziende ed organizzazioni • http://it.linkedin.com/in/francescoperna
  • 3. 15/10/2012 APT Demistified 3/20 Di cosa si parlerà • Demistificazione delle Minacce Avanzate e Persistenti (APT). Timeline dei principali attacchi rilevati, modelli di infezione adottati e analisi dei costi • Vulnerabilità non «Avanzate» che minano la Sicurezza delle reti delle aziende Italiane. Troppo spesso queste vulnerabilità sono poco considerate, sottovalutate o non conosciute • Dell’impato sulla Sicurezza causato da tecniche e tools noti da almeno 10 anni • Contromisure da adottare per difendersi dalle Minacce avanzate e persistenti
  • 4. 15/10/2012 APT Demistified 4/20 0-DAY OR NO WAY … ADVANCED PERSISTENT THREAT
  • 5. 15/10/2012 APT Demistified 5/20 Gli attacchi sono ad ampio spettro: •Vulnerabilità note unpatched, 0day, Internet Attacks •Device infetti (Memorie, USB Stick, Tampered Device) •Vulnerabilità infrastrutturali •Social Engineering, insider agent L’agente di minaccia esegue una missione: •La persistenza è intesa come la capacità di poter completare gli obiettivi richiesti quando richiesto. •Non è detto che venga eseguito costantemente del codice sul sistema attaccato La minaccia non è costituita solo da malware: •Dietro ai malware c’è un gruppo organizzato di persone motivate, organizzate e ben finanziate che compiono azioni all’interno dell’infrastruttura attaccata (data exfiltration, sabotaggio, intelligence, …) Advanced Persistent Threats ADVANCED PERSISTENT THREATS
  • 6. 15/10/2012 APT Demistified 6/20 APT Timeline eventi più significativi
  • 7. 15/10/2012 APT Demistified 7/20 Anatomia di un attacco Malware Deployment •Network Attack •Social Engineering •Rogue Devices Setup C&C Communications C&C Control •Ricognizione •Furto di documenti •Sabotaggio •Spionaggio •Denial Of Service Persistenza nel perimetro •Diffusione su altri sistemi all’interno dell’infrastruttura •Occultamento
  • 9. 15/10/2012 APT Demistified 9/20 LE MINACCE ITALIANE CHI HA PAURA DEGLI APT ?
  • 10. 15/10/2012 APT Demistified 10/20 Ha davvero senso preoccuparsi ? • La tipica Azienda o Organizzazione Italiana è ben lontana da dover temere le minacce di questo tipo • Poiché la Sicurezza è vista troppo spesso soltanto come un costo, non sono implementate le contromisure necessarie a garantirne un livello adeguato rispetto ai processi aziendali • Nelle slide successive saranno riportati alcuni esempi di Insicurezza Aziendale riscontrati nel corso delle attività di PenTest effettuate nel 2012 • Le Aziende di altri paesi non sono molto diverse in termini di sicurezza (basta pensare ad RSA, Stratfor, Sony, ecc.)
  • 11. 15/10/2012 APT Demistified 11/20 «NON È POSSIBILE DALL’ESTERNO ARRIVARE IN QUESTO PUNTO DELLA RETE» INSICUREZZA DELLA RETE FISICA
  • 12. 15/10/2012 APT Demistified 12/20 Metodi per l’accesso fisico • Per accesso fisico ad una rete in genere si intende l’accesso effettuato utilizzando il cavo di rete attestato sull’infrastrutura aziendale • Un’estensione dell’accesso fisico avviene per mezzo delle tecnologie wireless o di accesso remoto • Per garantire la sicurezza della rete bisogna garantire la sicurezza • Dei canali fisici per l’accesso alla rete • Dei locali e infrastrutture che consentono di accedere ai canali fisici della rete
  • 15. 15/10/2012 APT Demistified 15/20 (in)sicurezza di altri accessi wired • Cavi «dismessi» • Rack aperti • Grovigli di cavi • Wall-Plug • Esistono i vampiri ? Sicuro, ma l’aglio non serve J
  • 16. 15/10/2012 APT Demistified 16/20 (in)sicurezza degli accessi wireless • Wifi 802.11* • Open Network • Weak Crypto / Pass-phrase deboli • WPA Generated Key, quanti la cambiano ? • Guest Network • GPRSUMTS APN • Closed User Group questo sconosciuto • TESTTEST non si nega a nessuno • Other RF (Bluetooth, Zigbee, Custom RF)
  • 18. 15/10/2012 APT Demistified 18/20 «LA NOSTRA RETE È SICURA: ABBIAMO FIREWALL, IDS, IPS, …» INSICUREZZA DELLA RETE LOGICA
  • 19. 15/10/2012 APT Demistified 19/20 Principi di design di una rete sicura • Gli apparati di rete impiegati devono essere dimensionati correttamente • La rete, oltre che per questioni legate alla sicurezza, deve essere segmentata • I protocolli di rete non necessari per gli utenti, non devono essere esposti sulle reti dove essi sono attestati
  • 20. 15/10/2012 APT Demistified 20/20 Questa è la nostra rete • 2 Router, 1 Firewall ed un pizzico di follia J • Il router «Internet PRIV» instrada le VPN oltre al traffico internet generico • Un agente di minaccia può occuparsi degli attacchi senza doversi preoccupare delle contromisure
  • 21. 15/10/2012 APT Demistified 21/20 Switch in Fail Open • Per garantire la continuità operativa gli switch, in determinate condizioni di «stress», iniziano ad operare come se fossero degli hub • Non sempre questo comportamento è determinato da azioni compiute da un agente di minaccia • Microsoft, misconfigured, NLB cluster • Troppi ClientServer attestati sull’infrastruttura
  • 22. 15/10/2012 APT Demistified 22/20 Man in the middle • Nei primi anni 2000 sono stati svilupati degli attacchi diretti alle reti switched che consentono di poter intercettare il traffico • Negli anni seguenti sono state sviluppate le contromisure necessarie a proteggere le reti da questi attachi • Nel 2012 riscontriamo che …
  • 23. 15/10/2012 APT Demistified 23/20 Man in the middle • Non è cambiato niente http://blackhats.it/it/papers/Slides-mitm.pdf
  • 24. 15/10/2012 APT Demistified 24/20 Protocolli di gestione della rete • Sistemi di asset management cercano, OVUNQUE SULLA RETE, i dispositivi per mezzo delle community SNMP • Repository delle configurazioni degli apparati di rete, e di sicurezza, non adeguatamente protetti • Le configurazioni includono password, community SNMP, subnet e altre informazioni utili per portare a termine attacchi strutturati all’interno dell’infrastruttura attaccata
  • 25. 15/10/2012 APT Demistified 25/20 «I NOSTRI PROGRAMMATORI SONO DEGLI EX HACKER CHE ORA SONO BUONI» INSICUREZZA NEL MONDO DELLE APPLICAZIONI
  • 26. 15/10/2012 APT Demistified 26/20 (in)sicurezza nel software Il mio codice funziona meglio di quello nella libreria o Conoscevamo già quella vulnerabilità Quello non è un bug, è una feature Carenze nei meccanismi di validazione e neutralizzazione dell’input Controllo d’accesso … Client Side Password in chiaro
  • 27. 15/10/2012 APT Demistified 27/20 Protezione offerta dagli anti virus • msfpayload windows/meterpreter/bind_tcp X > moca_x86_tcp_4444.exe
  • 28. 15/10/2012 APT Demistified 28/20 Protezione offerta dagli anti virus • msfpayload windows/x64/meterpreter/bind_tcp X > moca_x64_tcp_4444.exe
  • 29. 15/10/2012 APT Demistified 29/20 Il problema degli anti virus • Stando alle risposte ricevute dai vendor, questo comportamento non può essere considerato una vulnerabilità, in quanto mancano soltanto le signature • Sebbene la risposta sia formalmente corretta, il fatto che gli antivirus non riescano ad identificare minacce a 64 bit costituisce una vulnerabilità • The truth is, consumer-grade antivirus products can’t protect against targeted malware created by well-resourced nation-states with bulging budgets. They can protect you against run-of-the-mill malware: banking trojans, keystroke loggers and e-mail worms. But targeted attacks like these go to great lengths to avoid antivirus products on purpose – Mikko Hypponen
  • 30. 15/10/2012 APT Demistified 30/20 «L’UNICO RISULTATO OTTENIBILE FACENDO DEI SISTEMI A PROVA DI IDIOTA, È QUELLO DI SFIDARE DIO A FARE DEGLI IDIOTI PIÙ IDIOTI DI PRIMA» MINACCE PERSISTENTI REALI
  • 32. 15/10/2012 APT Demistified 32/20 Il fattore umano • Un utente medio riesce a clickare più velocemente di quanto riesca a pensare • Per quanto ci si sforzi di fare security awarness, dato un subset di cose da non fare, gli utenti le faranno • Data una limitazione imposta per ragioni di security, gli utenti troveranno un modo per bypassarla