Al giorno d’oggi la scena dell’(in)sicurezza informatica, in particolar modo all’interno delle aziende e delle organizzazioni Italiane (PA, PMI, Enterprise, Corporate) è stata prepotentemente invasa dal tema APT. Bisogna realmente preoccuparsi di questo “nuovo” genere di minacce ? Sono davvero così diffuse e pericolose o sono di gran lunga sopravalutate, nella speranza che si crei un nuovo mercato artificiale in favore di qualche vendor ? Nel corso dell’intervento saranno riportate le esperienze, REALI, relative ad un anno di attività Security Assessment svolte all’interno delle aziende Italiane. In questo contesto si cercherà di sensibilizzare la platea relativamente alle minacce che costituiscono un pericolo concreto per la sicurezza delle aziende e delle organizzazioni Italiane.
2. 15/10/2012 APT Demistified
2/20
Chi sono
• Appassionato di Computer dai primi anni ‘90 (invece del
pallone di cuoio mio padre mi ha regalato un 8086 J ) e di
Sicurezza Informatica da almeno 15 anni
• Security Researcher e Analyst
• Socio dell’associazione culturale telematica Metro Olografix
• Socio e responsabile tecnico di Quantum Leap srl, una
società di consulenza che offre servizi di Sicurezza
Informatica ad aziende ed organizzazioni
• http://it.linkedin.com/in/francescoperna
3. 15/10/2012 APT Demistified
3/20
Di cosa si parlerà
• Demistificazione delle Minacce Avanzate e Persistenti (APT).
Timeline dei principali attacchi rilevati, modelli di infezione
adottati e analisi dei costi
• Vulnerabilità non «Avanzate» che minano la Sicurezza delle
reti delle aziende Italiane. Troppo spesso queste
vulnerabilità sono poco considerate, sottovalutate o non
conosciute
• Dell’impato sulla Sicurezza causato da tecniche e tools noti
da almeno 10 anni
• Contromisure da adottare per difendersi dalle Minacce
avanzate e persistenti
5. 15/10/2012 APT Demistified
5/20
Gli attacchi sono ad ampio spettro:
•Vulnerabilità note unpatched, 0day, Internet Attacks
•Device infetti (Memorie, USB Stick, Tampered Device)
•Vulnerabilità infrastrutturali
•Social Engineering, insider agent
L’agente di minaccia esegue una missione:
•La persistenza è intesa come la capacità di poter completare
gli obiettivi richiesti quando richiesto.
•Non è detto che venga eseguito costantemente del codice sul
sistema attaccato
La minaccia non è costituita solo da malware:
•Dietro ai malware c’è un gruppo organizzato di persone motivate,
organizzate e ben finanziate che compiono azioni all’interno
dell’infrastruttura attaccata (data exfiltration, sabotaggio,
intelligence, …)
Advanced Persistent Threats
ADVANCED
PERSISTENT
THREATS
7. 15/10/2012 APT Demistified
7/20
Anatomia di un attacco
Malware
Deployment
•Network Attack
•Social Engineering
•Rogue Devices
Setup C&C
Communications
C&C Control
•Ricognizione
•Furto di documenti
•Sabotaggio
•Spionaggio
•Denial Of Service
Persistenza nel
perimetro
•Diffusione su altri
sistemi all’interno
dell’infrastruttura
•Occultamento
10. 15/10/2012 APT Demistified
10/20
Ha davvero senso preoccuparsi ?
• La tipica Azienda o Organizzazione Italiana è ben lontana
da dover temere le minacce di questo tipo
• Poiché la Sicurezza è vista troppo spesso soltanto come un
costo, non sono implementate le contromisure necessarie a
garantirne un livello adeguato rispetto ai processi aziendali
• Nelle slide successive saranno riportati alcuni esempi di
Insicurezza Aziendale riscontrati nel corso delle attività di
PenTest effettuate nel 2012
• Le Aziende di altri paesi non sono molto diverse in termini di
sicurezza (basta pensare ad RSA, Stratfor, Sony, ecc.)
12. 15/10/2012 APT Demistified
12/20
Metodi per l’accesso fisico
• Per accesso fisico ad una rete in genere si intende l’accesso
effettuato utilizzando il cavo di rete attestato
sull’infrastrutura aziendale
• Un’estensione dell’accesso fisico avviene per mezzo delle
tecnologie wireless o di accesso remoto
• Per garantire la sicurezza della rete bisogna garantire la
sicurezza
• Dei canali fisici per l’accesso alla rete
• Dei locali e infrastrutture che consentono di accedere ai canali
fisici della rete
19. 15/10/2012 APT Demistified
19/20
Principi di design di una rete sicura
• Gli apparati di rete impiegati devono
essere dimensionati correttamente
• La rete, oltre che per questioni legate alla
sicurezza, deve essere segmentata
• I protocolli di rete non necessari per gli
utenti, non devono essere esposti sulle
reti dove essi sono attestati
20. 15/10/2012 APT Demistified
20/20
Questa è la nostra rete
• 2 Router, 1 Firewall ed un
pizzico di follia J
• Il router «Internet PRIV»
instrada le VPN oltre al
traffico internet generico
• Un agente di minaccia può
occuparsi degli attacchi
senza doversi preoccupare
delle contromisure
21. 15/10/2012 APT Demistified
21/20
Switch in Fail Open
• Per garantire la continuità operativa gli switch, in
determinate condizioni di «stress», iniziano ad
operare come se fossero degli hub
• Non sempre questo comportamento è
determinato da azioni compiute da un agente di
minaccia
• Microsoft, misconfigured, NLB cluster
• Troppi ClientServer attestati sull’infrastruttura
22. 15/10/2012 APT Demistified
22/20
Man in the middle
• Nei primi anni 2000 sono stati svilupati degli
attacchi diretti alle reti switched che consentono
di poter intercettare il traffico
• Negli anni seguenti sono state sviluppate le
contromisure necessarie a proteggere le reti da
questi attachi
• Nel 2012 riscontriamo che …
24. 15/10/2012 APT Demistified
24/20
Protocolli di gestione della rete
• Sistemi di asset management cercano, OVUNQUE
SULLA RETE, i dispositivi per mezzo delle
community SNMP
• Repository delle configurazioni degli apparati di
rete, e di sicurezza, non adeguatamente protetti
• Le configurazioni includono password, community SNMP,
subnet e altre informazioni utili per portare a termine
attacchi strutturati all’interno dell’infrastruttura
attaccata
26. 15/10/2012 APT Demistified
26/20
(in)sicurezza nel software
Il mio codice
funziona meglio
di quello nella
libreria
o
Conoscevamo
già quella
vulnerabilità
Quello non è un
bug, è una
feature
Carenze nei
meccanismi di
validazione e
neutralizzazione
dell’input
Controllo
d’accesso …
Client Side
Password in
chiaro
29. 15/10/2012 APT Demistified
29/20
Il problema degli anti virus
• Stando alle risposte ricevute dai vendor, questo
comportamento non può essere considerato una
vulnerabilità, in quanto mancano soltanto le
signature
• Sebbene la risposta sia formalmente corretta, il fatto che gli
antivirus non riescano ad identificare minacce a 64 bit
costituisce una vulnerabilità
• The truth is, consumer-grade antivirus products can’t protect
against targeted malware created by well-resourced nation-states
with bulging budgets. They can protect you against run-of-the-mill
malware: banking trojans, keystroke loggers and e-mail worms.
But targeted attacks like these go to great lengths to avoid
antivirus products on purpose – Mikko Hypponen
30. 15/10/2012 APT Demistified
30/20
«L’UNICO RISULTATO OTTENIBILE FACENDO DEI
SISTEMI A PROVA DI IDIOTA, È QUELLO DI SFIDARE
DIO A FARE DEGLI IDIOTI PIÙ IDIOTI DI PRIMA»
MINACCE PERSISTENTI REALI
32. 15/10/2012 APT Demistified
32/20
Il fattore umano
• Un utente medio riesce a clickare più
velocemente di quanto riesca a pensare
• Per quanto ci si sforzi di fare security
awarness, dato un subset di cose da non
fare, gli utenti le faranno
• Data una limitazione imposta per
ragioni di security, gli utenti troveranno
un modo per bypassarla