Fisherman's tale easy security threat 4.0

Easy Security Threat – Revisione numero 4.0 Roma 12 Agosto 2014
Autore : Massimiliano Brolli

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014
Indice del documento
 Premessa
 Buoni e Cattivi
 Classificazione tecniche di attacco
• Tecniche di Attacco finalizzate al Recupero dei dati con Intrusione Diretta
• Tecniche di Attacco finalizzate al Recupero dei dati con Intrusione
Indiretta (Spamming e Phishing)
• Tecniche di Attacco finalizzate al Blocco del sistema
• Zero-day Attak
• Attacchi APT
 Mitigare gli attacchi
 La Cyber Security
 Allegati
2

Premessa
 In questo documento si vuole illustrare in maniera
sintetica ma allo stesso tempo esaustiva le tecniche
di attacco ad un sistema informatico e i metodi di
difesa.
• Per tecniche di Attacco si intende un insieme
di metodi che sfruttano vulnerabilità dei sistemi
che consentono ad un attaccante (Hacker /
Cracker) di introdursi illecitamente in essi
praticandone del dolo.
• Per metodi di difesa invece si intende un
insieme di tool tramite i quali è possibile una
Riduzione del rischio di intrusione sui sistemi.
 Lo scopo di un attacco informatico ha come fine ultimo colpire una data
organizzazione o accedere a dati facilmente rivendibili.
 Molti attacchi iniziano dagli utenti stessi dei sistemi tramite tecniche di
Ingegneria sociale tanto da indurli a fornire dati sensibili o ad avviare
transazioni economiche dai propri conti bancari a conti controllati dai
cracker stessi.
3

Buoni e Cattivi
 Nel Cyber-Space (spazio condiviso tra relazioni logiche e fisiche, tra
sistemi, hardware, software, dati e utenti) esistono i Buoni ed i Cattivi
esattamente come nel mondo reale.
 Mentre le grandi organizzazioni spendendo ingenti somme di denaro tentano
di mettere al riparo le proprie infrastrutture informatiche da intrusioni illecite
(sia dall’esterno che dall’interno della società stessa) altri «loschi figuri» con
pochi mezzi e poche finanze discutono in forum inaccessibili l’ultimo exploit e
falla conosciuta su un sistema operativo.
 Il genere «Cattivi» si differenzia in 2 specie :
 Hacker : colui che si impegna nell'affrontare sfide intellettuali o per aggirare
o superare creativamente le limitazioni che gli vengono imposti da qualsiasi
software.
 Cracker : colui che si ingegna per eludere blocchi imposti da qualsiasi
software al fine di trarne profitto.
 Il genere «Buoni» si differenzia in 3 specie :
 Addetti alla sicurezza informatica : colui che si impegna a migliorare i
sistemi di competenza avviando azioni di rientro o di mitigazione delle
carenze riscontrate.
 Addetti alla divulgazione della sicurezza informatica : colui che si
impegna a definire e a divulgare best-Practices, Policy, linee guida, ecc...
Per consentire la riduzione del rischio.
 Addetti alla misura del Rischio : colui che si impegna a misurare
attraverso determinati Assessment le misure di sicurezza messe in campo
sui sistemi.
4

Classificazione delle tecniche di attacco
 Esistono moltissime tecniche di attacco, in questo documento ne vedremo
alcune tra le più conosciute ma la distinzione che possiamo fare è sullo
scopo dell'azione.
 Alcune hanno come scopo il recupero dei dati contenuti nel sistema mentre
altre hanno come scopo la distruzione o l'inaccessibilità dei servizi :
1. Tecniche di recupero dati di un sistema
• Intrusione Diretta : tecniche di attacco diretto
• Intrusione Indiretta : tecniche di attacco indiretto
che pongono l'utente al centro della frode
2. Tecniche di Blocco del sistema : Metodi di attacco
diretto/indiretto che hanno come scopo il rallentamento o il
blocco completo del servizio.
3. Zero-Day Attak : Vulnerabilità sconosciute che vengono
sfruttate fino a quando ad un giorno «Zero» sono
classificate.
4. APT : Attacchi mirati e persistenti, progettati ad-hoc per
colpire una determinata organizzazione.
5

Attori Fisherman’s Tale
 Di seguito vengono riportate le icone che rapresenteranno gli attori nel contensto della
sicurezza informatica che verranno utilizzate nelle rappresentazioni grafiche
successive.
 Tali rappresentazioni descrivono graficamente le tecniche di Attacco praticate per
permettere di approfondirne le dinamiche e le iterazioni tra gli Attori e i Sistemi.
Polpo
Incarna : Malware
Surfer
Incarna : Utente
Esca
Incarna : Phishing
Pesce palla
Incarna : Grande Organizzazione
Squalo
Incarna : Cracker
Branco di pesci
Incarna : Utenti
6

Tecniche di Attacco finalizzate al Recupero dei dati con
Intrusione Diretta
7

Classificazione
 Queste tecniche costituiscono nel loro insieme una rosa di metodi che
possono essere utilizzati singolarmente oppure uniti per condurre un
attacco mirato ad un dato sistema.
1. Tecniche di recupero informazioni : Tecniche che consentono
all’attaccante di prelevare informazioni utili per condurre un attacco mirato
• Port Scanning & Data sniffing
• Information disclosure
2. Tecniche di attacco : Tecniche di attacco al sistema atte a sottrarre un
account di amministrazione.
• Code injection
• Insecure Direct Object References
• Man in the middle
• Utilizzo di Exploit
3. Persistenza dell’attacco : Tecniche utilizzate per controllare nel
tempo il sistema compromesso e vengono utilizzate una volta concluso
positivamente il punto 2 che ha permesso all’attaccante di disporre di un account di
amministrazione sul sistema.
• Backdoor (Web-Shell & Reverse Shell)
• Key logger
8

Attaccante
1
1) Mentre i tools di Port Scanning
attivano Socket verso il server web
ciclando su tutte le porte del server
per conoscere quale servizi siano in
stato di Listening, i tool di Data
Sniffing analizzano i dati pervenuti
dalle richieste inviate al server per
carpire informazioni utilizzabili per
condurre un attacco mirato.
L’attaccante avvia delle sessioni di programmi che
permettono di :
• Effettuare una scansione delle porte attive sul
server da colpire per comprendere quali servizi
risultano attivi.
• Verificare (Ad esempio tramite Header http) che il
server Web mostri informazioni sulle versioni dei
prodotti installati.
Port Scanning
Data Sniffing
2
2) Risposte da parte del server alle richieste effettuate
dai Tools di recupero informazioni. Alcuni tool (Vedi
NetCat) permettono di
eseguire la tecnica del
«Banner Grabbing» e
rilevare la versione del
Servizio in listening su una
Specifica porta.
Port Scanning & Data Sniffing
• Questo genere di attacco di recupero informazioni (nell’esempio un port scanning insieme ad un Data Sniffing) permette di recuperare dati
importanti per preparare e condurre un attacco mirato.
• L’Hacker/Cracker ha a disposizione una rosa di tool che permettono di verificare e comprendere quali servizi e versioni di tali servizi sono
installati sul server che verrà attaccato. Il passo successivo e verificare se per quelle versioni e servizi sono presenti Exploit che possono
essere utilizzati per aprire una breccia sul sistema.
• Un esempio classico è l’utilizzo di nmap o Netcat come prima attività di verifica e scansione di un sistema da attaccare. nmap permette di
individuare porte oltre ad ipotizzare il sistema sul quale sono ospitati i servizi. Nmap viene spesso confuso con Nessus, programma che
permette di individuare delle vulnerabilità nei sistemi.
9

1) L’attaccante avvia una
richiesta alle pagine di web
di amministrazione
inducendola in errore
Attaccante
2) Il server Web Effettua
una chiamata al server
DBMS all’interno della LAN
dell’azienda
1
2
3
3) Il server
DBMS non
consente la
connessione
tramite il metodo
con.Open()
L’attaccante riceve dalla
pagina Login.aspx una
serie di informazioni
molto utili per condurre
l’attacco quali l’IP del
server DBMS interno alla
rete, l’istanza del
database.
Information Disclosure
• Questo genere di attacco di recupero informazioni (nell’esempio un’information Disclosure in ambiente Microsoft .NET) si basa
nell’individuare informazioni utili per condurre un attacco mirato sul sistema attaccato..
• L’Hacker/Cracker procede ad invocare una serie di pagine web o sfrutta delle pagine web non configurate correttamente come ad esempio
la pagina Login.aspx dell’esempio in calce. Tale pagina non essendo processata (ad esempio per un malfunzionamento temporaneo del
DBMS server come un problema di rete) non effettua la connessione al server andando in errore e mostrando una serie di informazioni
preziose all’attaccante.
• Molto spesso la prima cosa che si effettua è mandare in 404 il server web per vedere se fornisce informazioni sulla versione del servizio, da
qui poi la ricerca di vulnerabilità ed exploit per avere un varco sul sistema.
10

Gli Exploit
• Questo genere di attacco sfrutta le vulnerabilità introdotte su una data versione di Sistema Operativo, Applicazione o Middleware a causa di
4
4) Ora
l’attaccante è in
possesso di un
Exploit
un errato Patching Management.
• Gli Exploit sono in genere programmi, shell, o script che sono stati creati per sfruttare quella data vulnerabilità.
• Nell’esempio riportato di seguito, viene eseguito il consueto percorso che sfrutta un Hacker una volta avuta a disposizione (ad esempio con
un port scanning sfruttando il banner grabbing) la precisa versione di un servizio da attaccare.
• Esistono molti siti di Exploit come exploit-db.com oppure cvedetails.com ma sicuramente BigG è la soluzione più veloce e diffusa.
Attaccante
3
3) Ora l’attaccante verifica su internet
(utilizzando Google o appositi siti nei
quali ricercare Exploit le vulnerabilità
per la versione 5.4.16 di PHP
5
5) L’attaccante ora sviluppa
l’Exploit verso il server target
di Destinazione sferrando (per
la vulnerabilità)
1) L’attaccante effettua un port
scanning sul server alla ricerca
delle porte/servizi in ascolto 1
2
2) Rilava
informazioni utili per
condurre un attacco
mirato come visto
precedentemente
nell’Information
disclosure
11

• Questo genere di attacco sfrutta Vulnerabilità del codice applicativo (nell’esempio un SQL Injection in una form di Login in una applicazione
Java/Oracle) permette di recuperare dati sensibili attraverso l’Injection nei campi delle Form dall’applicazione Web di stringhe SQL
contraffatte.
• Esistono diversi tipi di Code Injection, le più comuni sono SQL, LDAP, SSI, Xpath, XSLT, HTML, ecc…
• I comandi di injection possono consentire ad un aggressore di creare, leggere, aggiornare o eliminare arbitrariamente ogni tipo di dato
utilizzato nell’applicazione. Nel peggiore dei casi, queste vulnerabilità possono permettere ad un aggressore di compromettere
completamente l’applicazione ed il sottostante sistema, scavalcando persino complesse catene di firewall.
2) Il server Web
fornisce la pagina
web al client, il
browser del client
esegue il rendering
dell’HTML prodotto
dal server web
Attaccante
4) Il server Web fornisce la pagina di
amministrazione dell’applicazione.
In questo modo l’attaccante avrà
accesso a tutti i dati dell’applicazione
oltre a poter effettuare danni
persistenti su di essa.
4
1) Il client richiede al 1
server web la pagina
affetta da SQL Injection 2
3
3) L’attaccante inserisce al
posto della password un
valore SQL contraffatto
(Ad esempio ‘ or ’1′=’1) di
modo che la query SQL
lanciata dall’applicazione
restituisca un valore positivo.
Code Injection
12

Insecure Direct Object References
• Gli attacchi di tipo Insecure Direct Object References si basano sulla manipolazione di parametri esposti in chiaro dagli sviluppatori
all’interno di una applicazione. L’esempio specifico fa riferimento al Path Traversal ovvero la possibilità di attraversare directory del server
attraverso l’utilizzo illecito dei parametri in chiaro ad esempio passati sulla URL (nell’esempio il famoso Path Traversal in ambiente Microsoft
IIS4/Classic ASP per permettere l’accesso alle directory di sistema operativo utilizzando le applicazioni web.)
• L’Hacker/Cracker una volta identificata la pagina affetta da path traversal, può eseguire la lettura di file (come ad esempio /etc/shadow
in ambiente Unix like) e tentare un bruteforcing degli hash con tool che sfruttano gli acceleratori grafici GPU per aumentare la potenza di
calcolo come ad esempio il Freeware Hashcat o Jhon The Ripper, Markov e OphCrack.
• Eseguito con successo il Cracking delle password l’attaccante disporrà di un accesso privilegiato per rendere persistente l’attacco.
Attaccante
1
1) L’attaccante una volta scoperta la
pagina affetta da Path Traversal la
invoca richiedendola al server Web
3
3) L’attaccante prepara una richiesta malformata e invoca la
pagina affetta da path traversal.
4 4) Il server Web fornisce l’output dell’elaborazione ma questa
volta all’interno dell’elaborazione verranno forniti anche dati
non previsti dall’applicazione web.
2
2) Il server Web
fornisce la pagina
web al client, il
browser del client
esegue il rendering
prodotto dal server
web
13

Man in the Middle
• Questo genere di attacco viene utilizzato (nell’esempio un esempio di Instant Messaging SSL con attacco MITM) per permettere ad un
attaccante di leggere, modificare a piacimento i messaggi scambiati tra due parti. Generalmente con flussi in chiaro è possibile leggere con
degli Sniffer il traffico e carpire le credenziali in transito ma l’attacco MITM è possibile anche a connessioni sicure.
• Il Cracker/Hacker grazie alle carenze di autenticazione del protocollo ARP (Address Resolution Protocol) effettuerà un ARP Spoofing (con ad
esempio Cain ) per indurre il Router a forwardare i pacchetti in transito sul suo pc. Grazie all’aiuto di uno sniffer come Ettercat e tool per
forzare connessioni sicure come sslstrip completerà l’attacco come descritto in calce.
Attaccante Jack
2) Carlo tenta di inviare la sua chiave
pubblica a Luca ma Jack ne blocca
l’invio, da ora anche Jack è a
conoscenza della chiave di Carlo.
1) Luca invia la sua chiave
pubblica ignaro che Jack stia
eseguendo uno sniffing dei dati .
Ora anche Jack conosce la
chiave pubblica di Luca.
Utente Luca
1
Utente Carlo
3
2
3) Jack invia una propria chiave
pubblica a Luca il quale pensa che
sia la chiave proveniente da Carlo
5
5) Jack una volta bloccato il
messaggio di Luca invia i
propri dati e il codice IBAN
di un conto da lui controllato a
Carlo
6
6) Ora Carlo, sicuro che i dati e il codice
IBAN forniti da Luca sono corretti,
procede ad effettuare il bonifico ignaro
che verrà effettuato sul conto di Jack
4
4) Luca ora invia il proprio
Account a Carlo il suo i dati e il
codice IBAN per farlo procedere
al bonifico che gli aveva promesso
ma Jack lo intercetta e lo
blocca.
14

Backdoor (Web Shell e Reverse Shell)
• Le Backdoor (Porta sul retro) sono programmi che consentono di superare le restrizioni di sicurezza imposte su un dato sistema.
• si tratta di applicazioni che permettono di eseguire/controllare il server compromesso da remoto tramite l’ausilio di un client di accesso
come ad esempio un Web Browser o un client ssh.
• Esistono una moltitudine di tipologie di Backdoor suddivise per Layer Applicativo (SO, Applicazione e Middleware) nell’esempio che
andremo ad analizzare si effettua l’installazione di una WebShell per finalizzare un attacco e quindi renderlo persistente.
• Le WebShell (nate inizialmente per PHP quali c99, Madspot, b374k, weevely ) si sono estese ad ogni Application server (vedi
Apache/Tomcat, IIS/ASP o ASP.NET) e consentono di amministrare il server da remoto tramite interfaccia web.
• Nell’esempio il Cracker/Hacker procede con l’installazione di una Reverse Shell su Tomcat di modo da poter amministrare il sito da remoto.
Attaccante
1
1) L’attaccante ha scoperto la presenza
di Tomcat su un server Apache e digita
la pagina di amministrazione.
Sfruttando la password di default
dell’utenza Tomcat (tomcat) che molto
spesso non viene cambiata
dall’amministratore del sistema,
procede a raggiungere la pagina di
Upload deli WAR files per procedere
con il Deploy della webshell.
3) Ora l’attaccante eseguita l’applicazione su Tomcat,
potrà connettersi all’applicazione tramite La Reverse
Shell e disporre del prompt dei comandi.
2
2) Acceduto alla pagina di amministrazione, carica il WAR
in maniera manuale oppure utilizzando tool di attacco
automatizzato come
ad esempio Metasploit
o Netcat per far
creare in maniera
automatica la Reverse
Shell su Tomcat.
3

Key Logger
• I Key logger sono programmi classificati come Backdoor che intercettano e tracciano ogni comando eseguito dall’utente di modo che possa
essere analizzato dal Cracker/Hacker per condurre un attacco mirato.
• Si dividono in due tipologie, Locali e remotizzati in quanto possono eseguire il tracciamento direttamente sulla macchina compromessa
oppure inviare il log ad un altro server presente in rete. Questi programmi vengono installati o in attacchi mirati oppure distribuiti da
Malware di diversa natura come Virus o Trojan o worm. Sono sviluppati per intercettare username e password o dati di carta di credito.
• Nell’esempio in calce, a seguito di un accesso con privilegi Amministrativi, si attiva un keyLogger per carpire le credenziali di accesso dello
strato Database di modo da procedere con la raccolta delle carte di credito presenti al suo interno.
Attaccante
2) L’attaccante digita i comandi
necessari a tracciare tutto quanto
quello che transita tramite SSH
oppure compila un programma
appositamente creato per tracciare i
tasti digitati dagli utenti.
1
1) L’attaccante è riuscito ad
avere un accesso privilegiato sulla
macchina Linux utilizzando ad
esempio una tecnica vista in
precedenza magari installando
una Remote Shell.
3) Ora l’attaccante potrà leggere
all’interno della directory /tmp/ i file di
log generati e carpire prezione
sinformazioni come ad esempio l’utilizzo
di credenziali di accesso su Layer
differenti dal SO.
alias ssh='strace -o /tmp/.sshpwd-`date '+%d%h%m%s'`.log -e
2
read,write,connect -s2048 ssh'
3
16

Rootkit
• Le Rootkit sono programmi (letteralmente Kit di Amministrazione) che permettono di connettersi ad un sistema con privilegi amministrativi
senza avere autorizzazioni esplicite da parte di altri amministratori del sistema. Le Rootkit si dividono in user-mode e in kernel-mode. Mentre i
primi funzionano a livello applicativo i secondi (molto più pericolosi) permettono di interagire a livello del kernel del sistema operativo e
permettere accessi privilegiati sulla macchine nella quale sono installati.
• Molto spesso veicolati all’interno di malware di diversa natura come trojan e virtus, le Rootkit possono essere installate a seguito
Banca Onliine
dell’individuazione di Exploit sui sistemi operativi o per mantenere un accesso privilegiato sul sistema.
• Nell’esempio il Cracker/Hacker installa (individuato l’exploit in ambiente Windows) una Rootkit molto pericolosa Mebroot (della categoria delle
Bootkit) che interferisce con il MBR ed è difficile la sua eliminazione oltre a consentire di fornire dati prezioni agli attaccanti.
Attaccante
1
1) L’attaccante
tramite
l’utilizzo di un
virus installa su
una serie di
computer degli
utenti la
Rootkit
Mebroot.
2) Gli utenti non si accorgono della
Rootkit ed eseguono le consuete
operazioni sui conti online
2
Server controllato
Dall’attaccante
3
3) Mebroot fornisce
costantemente le
informazioni digitate
dagli utenti (url,
user/password, codici
di attivazione) ad un
server controllato
dall’attaccante.
4
4) L’attaccante accede ai server da
lui controllati per carpire le
informazioni fornite da Mebroot
5
5) Esegue bonifici di poche
migliaia di euro dai conti
degli utenti truffati verso
terze persone 8che
collaborano con l’attaccante
detti soldatini) che poi
trasferiranno le somma
all’estero con i servizi di
money transfert
17

Tecniche di Attacco finalizzate al Recupero dei dati con
Intrusione Indiretta (Spamming e Phishing)
18

Classificazione
 Queste tecniche di intrusione possono sfruttare
l’accesso casuale degli utenti a pagine contraffatte
oppure l’ingegneria sociale (arte dell'inganno) per
indurre un utente a compiere una azione illecita
carpendone la fiducia utilizzando come driver di
attacco messaggi di Spam o Phishing in generale.
 Le vulnerabilità più note che partono dall’invio di una
mail di Spam sono :
• Distribuzione di Malware generico
• Sfruttamento di vulnerabilità del codice applicativo
1. Cross site Scripting persistente
2. Cross site Scripting NON persistente
3. Cross Site Request Forgery
4. Open Redirect
• Alcuni Exploit
1. Clickjacking
2. Tab Nabbing
• Anche se il fenomeno più
redditizio ad oggi tra gli spammer
è compromettere computer
sparso nel globo tramite malware
di diversa natura per agganciarli
alle Botnet per i DDoS (come
vedremo più avanti), il fenomeno
del Phishing per il recupero delle
credenziali e lo spamming per
intrusione indiretta permette di
indurre un utente ad effettuare
attività illecite, appositamente
studiate finalizzate ad esempio
allo spostamento di fondi tra le
banche online.
• I messaggi di spam nel mondo
si attestano a Gennaio 2014
(fonte kaspersky) al 65% del
traffico totale di posta
elettronica (le prime tre
nazioni) Cina Usa e Corea del
sud e Italia 14,3% (fonte IBM)
• Il 91% degli APT risultano
iniziare proprio da una mail di
phishing.
• Lo spamming è una tra le
forme più «artistiche» degli
attacchi informatici,
costantemente studiati per
carpire la fiducia degli utenti
con le più disparate arti di
inganno.(come ad esempio il
Tab Nabbing)
19

Distribuzione di Malware
• Questo genere di attacco di intrusione indiretta permette di infettare numerosi computer con Malware di diversa natura.
• Il tutto parte da mail di Spam e le varianti sono moltissime, ne analizzeremo di seguito tra le più conosciute :
• Virus : Ha la capacità di infettare file e cartelle eseguendo copia di se stesso all'insaputa dell'utente.
• Worms : (In inglese verme) ha la capacità di autoreplicarsi anche senza legarsi strettamente con un programma eseguibile.
• Trojan : Software che appaiono apparentemente utili ma che nascondono al loro interno Malware di diversa natura.
• Backdoor : Programmi che permettono un accesso non autorizzato e superare delle restrizioni specifiche di un dato sistema.
• SpyWare : Programmi spia che permettono di raccogliere informazioni all’insaputa dell’utente.
• Anche se questi programmi (come visto nell’intrusione diretta per le Backdoor) possono essere installati direttamente sui server/client per
finalizzare un attacco, molto spesso vengono distribuiti all’interno di mail di Spam di diversa natura.
Attaccante
Utenti/e Sito controllato
dall’Attaccante
2
2) La mail viene processata nel client di
posta dell’utente.
L’utente effettua l’apertura
dell’eseguibile infetto che installa
all’interno del computer il Malware come
ad esempio un drone per attacchi DDoS.
1
1) L’attaccante invia una mail di
Spam (utilizzando l’ingegneria
Sociale) ad una serie di utenti che
ignari accederanno alla posta ed
effettueranno l’azione scorretta voluta
dal Cracker come ad esempio aprire
un eseguibile, accedere ad un sito
infetto, ecc…
3
3) Ora il Malware accede al server internet
controllato dall’attaccante notificando la sua
presenza e fornisce una serie di informazioni
preziose reperite nel computer infetto come ad
esempio password, informazioni personali, utili
per condurre attacchi mirati oppure banalmente
inserendosi in una Botnet per attacchi DDoS.
20

Cross Site Scripting Persistente
• Questo genere di attacco che sfrutta le anomalie del codice applicativo (nell’esempio un XSS Persistente in un Forum Java) permette
l’esecuzione di codice contraffatto sui browser degli utenti.
• L’Hacker/Cracker in questo scenario sfrutta l’incapacità da parte delle applicazioni (nel nostro caso del Forum) di «validare» i dati di input
inserendo all’interno dei messaggi sottomessi dagli attaccanti del codice malevolo progettato dai Cracker.
• Il codice eseguito ovviamente sarà Client-Side quindi javascript, VbScript, tag OBJECT con riferimenti ad ActiveX contraffatti ed
altro ancora. Ovviamente la disabilitazione dell’esecuzione degli script da parte del Browser risolverebbe il problema ma non permetterebbe
alle applicazioni di funzionare.
Utenti
6
6) Il browser
dell’utente eseguirà lo
script contraffatto e a
sua insaputa accede
alla pagina web
affetta da XSS. La
pagina esegue sul
client lo script
contraffatto il quale
restituisce il cookie di
sessione su un server
controllato
dall’attaccante.
Attaccante
2
3
2) Il server
Web fornisce
la pagina
richiesta
affetta da
Cross Site
Scripting.
3) L’attaccante crea lo script che permette
di inviare ad un sito contraffatto le
credenziali di accesso al forum dell’utente
(ad esempio i cookie di sessione) e lo
inserisce all’interno di un messaggio
(persistente) del forum.
Visto che si tratta di un forum, il codice
Javascript verrà eseguito su tutti i
client degli utenti fornendo
all’attaccante (ad esempio su un sito
da lui controllato) i cookie di sessione.
4) Gli utenti ingari
richiederanno la
Home page del
forum la quale
sarà affetta da
XSS persistente.
4
1
1) Il client
richiede al
server web
la pagina
affetta
Cross Site
Scripting
5
5) Il sito Web
invierà al client la
pagina Web
richiesta con il
codice contraffatto
dall’attaccante.
7
7) Ora l’attaccante può
accedere al server di Storing
delle credenziali per
effettuare uno Spoofing
dell’utenza sul Forum.
21

Cross Site Scripting NON Persistente
• Questo genere di attacco sfrutta le anomalie del codice applicativo (nell’esempio un XSS non persistente su una banca OnLine) che
permette l’esecuzione di codice contraffatto sui browser degli utenti.
• L’Hacker/Cracker in questo scenario sfrutta l’incapacità da parte delle applicazioni (nel nostro caso della banca OnLine) di non prendere in
considerazioni richieste contraffatte (ad esempio con Javascript o Html).
• Il codice eseguito ovviamente sarà Client-Side quindi javascript per eccellenza ed altro ancora. L’attaccante potrà quindi procedere
nell’acquisizione dei cookie dell’utente e quindi condurre un attacco mirato. Ogni attacco di Cross Site Scripting comincia con una mail di
Phishing, prestare attenzione ai link che contengono tag <SCRIPT> o escape come ad esempio strani %73%63%72%69%70%74.
Attaccante
Utenti/e
Servizio Web affetto da XSS
2) L’utente (sicuro di
accedere al sito della sua
banca) accede al link
contraffatto contenente
codice Javascript
2
3
Server Controllato dall’attaccante
3) Il server invia la pagina all’utente la
quale conterrà un Javascript per il furto
del cookie di sessione dell’utente.
Il Javascript verrà eseguito sul Browser
dell’utente in quanto proveniente dal
sito che ha generato il Cookie
4
4) Il Javascript eseguito dal Browser
dell’utente una volta prelevata la User e la
password accederà ad un sito controllato
dall’attaccante nel quale andrà a depositare
le credenziali dell’utente.
1
5
5) l’Attaccante ora può
controllare sul server con
cadenza regolare se sono
presenti credenziali
utente valide per
accedere alla Banca
Online
6
6) Ora
l’attaccante
accede alla
Banca OnLine
e procede a
finalizzare
l’attacco
1) L’attaccante invia una mail di
Phishing ad una rosa di utenti
nella quale sono presenti i link
contraffatti che utilizzano il sito
(ad esempio una banca OnLine)
affetto da Cross Site Scripting
Il codice viene
eseguito nel
browser dell’utente
e questo potrà
avere accesso al
cookie di sessione
22

Cross Site Request Forgery
• Questo genere di attacco sfrutta Vulnerabilità delle applicazioni (nel nostro caso la cancellazione di un account da un forum) di eseguire
richieste senza una ulteriore validazione/iterazione da parte dell’utente con il sito web.
• L’Hacker/Cracker sfrutta in questo caso la fiducia dell’utente e l’ingegneria sociale (tramite l’invio di una mail di Phishing) e
successivamente sfrutta l’incapacità dei siti di richiedere una ulteriore conferma agli utenti prima di procedere con l’azione richiesta.
• In questo caso basterebbe che le applicazioni utilizzassero meccanismi di captcha o codici (generati casualmente per verificare la
corrispondenza con quanto presente sul server) per una verifica dopo una ulteriore mail di conferma.
1) L’attaccante invia una mail di Phishing all’utente che vuole colpire inviando all’interno del corpo della mail
(rigorosamente in HTML) una immagine contenente il seguente tag html
<img src="http://www.sito.it/delaccount.jsp?go=true&id=as713hsidj238" width="0" height="0">
Attaccante
Utenti/e
Servizio Web
affetto da XSS
2
2) La mail viene processata nel client mail dell’utente e
viene invocata la pagina presente sulla URL dell’immagine
che cancellerà l’account del malcapitato.
L’immagine verrà visualizzata con il simbolo X ma
l’attacco è stato finalizzato in quanto il server web
avrà già processato richiesta contraffatta.
1
23

1) L’attaccante invia una mail all’utente
sfruttando l’ingegneria sociale e lo
induce a cliccare su di un link corrotto
che punta ad una pagina HTML
appositamente creata presente sul sito
web da lui controllato.
1
Web Server
dall’attaccante
Clickjacking
• Questo genere di attacco sfrutta la possibilità di sovrapposizione degli oggetti offerta dalla tecnologia CSS (Cascading Style Sheets)
utilizzando javascript o Iframe per permettere di redirigere un Click effettuato da una pagina html ad un’altra all’insaputa dell’utente.
• L’Hacker/Cracker in questo esempio sfruttando la tecnica del Clickjacking e l’igegneria sociale per far effettuare il click «Like» su una
pagina facebook all’insaputa dell’utente sicuro che sta per rispondere alla domanda innocua fornita dal sito controllato dall’Hacker.
• Da tenere in considerazione che più è alto sarà lo Spam e più alto sarà il numero di attacchi avvenuti con successo.
Attaccante Utenti/e
Acquisizione sul browser
dell’utente della pagina di
Background
2
3
Acquisizione da parte del
Browser dell’utente della
pagina di Foreground
Viene caricata sul browser
dell’utente la pagina HTML di
Facebook in background sulla
quale si vuole redirigere il click
effettuato dall’utente.
Viene caricata sul browser dell’utente
la pagina HTML proveniente dal sito
dell’attaccante in Foreground che
permette di catturare il click
dell’utente.
24

• Questo genere di attacco si basa sull'idea che una scheda del Browser Web sia immutabile e usa il forte richiamo visivo di un'icona.
• Il tutto parte da una mail di phishing nel quale si invita a cliccare su un link, la pagina si apre e mostra un contenuto piacevole all’utente
come ad esempio immagini pornografiche, l’utente non chiude il tab ma continua la navigazione con altri tab già aperti.
• Cambiato TAB del browser la pagina malevola cambia icona e soprattutto contenuto presentando ad esempio la form contraffatta del
login a facebook o a Gmail o della banca On-Line del tutto identica all’originale.
• L’utente nel momento in cui ritorna sulla Tab sarà certo che la sessione di Facebook o Gmail o della sua banca sia scaduta e rieseguirà il
login. Le credenziali verranno depositate un un server remoto controllato dal phisher mentre verrà effettuato il redirect alla Home page del
sito autentico sul quale si rieffettuava il login.
Utenti/e
Tab Nabbing
1) L’attaccante invia una mail
all’utente sfruttando l’ingegneria
sociale e lo induce a cliccare su di
un link corrotto.
1
Attaccante
Web Server
dall’attaccante
2
2) Richiesta/Ricezione
pagina contraffatta
3) Viene caricato il terzo Tab con un
sito gradevole all’utente.
4) L’utente cambia TAB e non chiude il
terzo tab. Ora il terzo Tab si trasforma
caricano un sito contraffatto del tutto
identico al Login di Linkedin
5) La trasformazione è completata, anche l’icona del tab
cambia e questo rassicura l’utente
6
6) Le credenziali vengono registrate sul
server web controllate dall’utente ed
effettuato il redirect al sito ufficiale.
5) L’utente ritorna sul terzo tab e rassicurato
dall’icona e dal contenuto effettua il login certo
che la sessione è scaduta.
25

Open Redirect
• Questo genere di attacco si basa su una vulnerabilità del codice applicativo che permette (senza una validazione dell’imput) il redirect verso
siti contraffatti.
• Nell’esempio riportato il tutto parte da un messaggio di Spam o Phishing nel quale l’utente viene invitato ad accedere a www.Google.com
su una determinata pagina affetta da Open Redirect. Tale pagina che non gestisce la validazione dell’input permette all’utente di accedere
ad un server contraffatto ed inserire le sue credenziali di accesso a Google certo che questo sia il verso sito.
2) Viene richiesta la pagina sul server
di Google, ma tale pagina affetta da
opne Redirect rimanda l’utente al sito
contraffatto controllato dall’Attaccante.
1) L’attaccante invia una serie di mail di Phishing/Spam a degli
utenti che apparentemente sembra arrivare da Google e quindi
risulta affidabile. La mail lo avverte che le sue credenziali sono in
scadenza. L’utente vede la url
Http://www.google.com/gmail/login?url_redirect=
www.sitocontraffatto.com
Certo della sua provenienza clicca sul link che rimanda a Google.
3
Attaccante Utenti/e
2
1
Web Server
dall’attaccante
4
4) Il sito contraffatto mostra la pagina
esattamente uguale a quella di Google
riportando l’accesso user/password. A
questo punto L’utente digita le credenziali
che verranno registrate sul sito contraffatto
pronte ad essere utilizzate dall’attaccante.
3) Il redirect inviato dalla
pagina di Google affetta da
Open Redirect permette al
Browser dell’utente di caricare
il contenuto del sito
contraffatto
26

Tecniche di Attacco finalizzate al Blocco del sistema
27

Classificazione
 Queste tecniche vengono praticate verso una data organizzazione o verso
uno specifico servizio e consistono nel praticare azioni che come fine
ultimo hanno il blocco parziale o totale di un servizio oppure praticare
azioni distruttive verso il sistema attaccato.
 Ddos/DrDos
• DNS, SNMP, NTP, chargen e RADIUS
(tecniche che usano le carenze del
protocollo udp)
• Gaming server attacks
 Dos
• Syn & Ping flood
• Smurf
• Fork Bomb o Wabbit in generale
• Inizialmente questi attacchi
venivano praticati da hacker
per mostrare il dissenso verso
specifiche organizzazioni o per
ragioni di fede, scuola o
pensiero. Oggi il fenomeno
vista l'attenzione e la gravità
dei danni provocati è utilizzato
da reti di cracker assoldati da
altre organizzazioni o anche
come cyber-guerra a tutti gli
effetti (vedi blocco di internet
del ?????)
• Numeri del fenomeno : fonte
Arbor Network :
28

DDOS : DNS, SNMP, NTP, chargen e RADIUS
• Questo genere di attacco (nell’esempio un Reflaction and Amplification DNS che sfrutta la vulnerabilità Open Resolvers dei DNS) si basa
sull’invio ad un server (oggetto dell’attacco) di una quantità di traffico/richieste maggiore di quanto sia in grado di gestire abitualmente.
• Il Botmaster (Cracker che ha il controllo della BotNet) avvia con dei comandi da remoto la Botnet (sistemi/device infetti da malware) la
quale genererà un traffico anomalo che collasserà il server di destinazione incapace di gestire le numerose richieste pervenute.
• La tecnica Mostrata è un DrDOS e consiste nello sfruttare delle vulnerabilità di sistemi mal configurati (in questo caso DNS) per generare
del traffico anomalo (Amplification) e rediretto verso il target oggetto dell’attacco (Reflection e IP Spoofing).
Descrizione Attacco
di Reflection &
Amplification
Fattore
Amplificazi
one
DNS X 102
Realizzabile sfruttando tutti i DNS che presentano un
servizio di Open Resolver. Su Internet sono oltre 30 milioni
i server Unix o Windows che hanno queste caratteristiche.
CHARGEN X 18
E’ un servizio esposto da molti sistemi Unix. Alla ricezione
di un datagramma viene restituita una risposta contenente
un numero casuale di caratteri (max 512).
SNMP X 7
SNMP è un protocollo applicativo utilizzato da un gran
numero di device (router, switch, server, printer, modem,
video- camere, telefoni, apparati di rete, sensori di
temperatura e allarmistica elettronica).
NTP X 44
Network Time Protocol (NTP) è utilizzato per sincronizzare
l'orologio dei computer, attraverso una rete distribuita di
sistemi "campione« attestati su Internet e in genere di
libero utilizzo
Utenti
Target
DNS (Affetti da Open Resolver)
4) L’utente non raggiunge il target a
causa della saturazione delle risorse.
4
2) Richieste malformate
provenienti dalla Botnet
(IP Spoofing e
Amplification) verso i
vettori di attacco (DNS)
2
3
3) I DNS afflitti da
Open Resolver
contattano il target
(Oggetto
dell’attacco DrDos)
amplificando
l’attacco.
BotMaster
Server
comprome
sso
Botnet Infetta
da Malware
1
1) Il BotMaster
attiva la Botnet
definendo una serie
di parametri tra i
quali i criteri di
amplificazione.
29

Syn
• Questo genere di attacco di Denial of Service denominato SYN flood sfrutta la capacità di un server di allocare risorse prima ancora di
aver stabilito una corretta connessione con il client (TCP three-way handshake). Sostanzialmente il Clinet invia la richiesta SYN al
sistema e chiude la connessione, il server alloca risorse per gestire la connessione prima di aver ricevuto il messaggio di ACK
(Acknowledgment number) da partre del client Client.
• L’attacco consiste nell’attivare un flooding di richieste SYN (primo messaggio del three way handshake inviato dal client) al server da
colpire senza mai inviare l’ACK (terzo messaggio del three way handshake inviato dal client) oppure tramite l’IP Spoofing procedere a
falsificare l’indirizzo IP nel messaggio di SYN di modo che il server invierà la richiesta SYN-ACK (secondo messaggio del three way
handshake inviato dal server) ad un’altra macchina nella rete e quindi saturare le risorse hardware e software del server attaccato.
Attacante
Target
vulnerabile ad
attacco Syn
1) L’attaccante utilizza un
programma o uno script capace di
procedere in un attacco syn, nel
nostro caso utilizzeremo il
programma Hping3 su piattaforma
Linux e attiva il flooding verso il
server attaccato.
1
2) Flusso anomalo di
richieste SYN con indirizzo
IP falsificato che inondano il
server attaccato.
2
2) L’utente non
raggiunge il sito web a
causa della saturazione
della RAM e della CPU.
Utenti
3
Server
compromesso
30

• Questo genere di attacco di Distribuited Denial of Service si basa nell’invio di pacchetti ICMP di tipo ECHO_REQUEST contraffatti
(contenenti l’ip del target da attaccare) a degli apparati di rete che inoltrando in broadcast tali richieste alle macchine interconnesse
inoltrano la risposta alla vittima amplificando l’attacco.
• Anche se questo attacco oggi è molto mitigato a causa di apparati moderni che disabilitano il broadcasting è ancora possibile su reti non
correttamente configurate. I software disponibile a tale scopo (dapprima solo su piattaforma Linux) come porting di codice sono presto
approdati anche su piattaforma Windows.
Router
3
3) Processata la richiesta i gateway invieranno il flusso
dati di risposta al server target di fatto saturando le sue
capacita di interconnessione con la rete.
Smurf
2) Il router invia in
Broadcasting la richiesta a
tutti i Gateway interconnessi
che riporterà come mittente
l’IP della vittima
Attacante
Target
2) L’utente non
Utenti
4
1
1) L’attaccante invia
una richiesta di Ping
al Router falsificando
il suo indirizzo IP
riportando quello del
server da attaccare
2
Server
compromesso
31

• Questo genere di attacco di Denial of Service denominato Fork Bomb si basa su un Malware di tipo Wabbit . Il principio è che ogni
elaboratore ha la possibilità di eseguire un dato numero di processi utilizzando una data quantità di CPU e di memoria.
• Normalmente questo attacco può avvenire tramite un Malware appositamente creato ospitato all’interno di un trojan oppure lanciato da un
attaccante su un server da colpire una volta penetrato sul sistema.
1
1) L’attaccante ha già
a disposizione una
shell sul server oggetto
dell’attacco.
Provvede ad incollare
una Bash o scrive un
semplice programma in
C di Fork Bomb e lo
esegue
#include <unistd.h>
int main(void) {
while(1)
{
fork();
} return 0;
}
Fork Bomb
Attacante
Server
Target
vulnerabile ad
attacco Syn
2) Il server attiva il processo che a
sua volta, lanciando processi figli, in
modo recursivo consuma tutte le
capacità elaborative.
3) L’utente non
Utenti
3
2
compromesso
32

Grandezza Botnet Tipologia di attacco
da 15 a 30 Piccolo sito
da 250 a 280 Medio sito
da 750 a 800 Sito di grandi dimensioni
da 2000 a 2500 Sito di grandi dimensioni con protezione anti DDoS
da 4500 a 4700 Diversi siti che utilizzano una protezione anti DDoS
da 15000 a 20000
Per mettere OffLine qualsiasi sito con qualsiasi
protezione anti DDoS
DDoS, Una minaccia in costante aumento
 Gli attacchi DDoS, in particolar modo gli attacchi che utilizzano le tecniche DNS, SNMP e NTP stanno
diventando una concreta minaccia ai servizi online.
 Mentre scrivo questo articolo, gli Hacker/Cracker stanno organizzando servizi online di vendita «al
dettaglio» di attacchi Ddos per una quantità inverosimile di Gigabit di banda.
1. Sviluppano droni controllabili a distanza sempre più sofisticati, configurabili, leggeri e difficilmente rintracciabili dagli
utenti finali nei loro computer infetti.
2. Aggiungono Droni alle Botnet per permette di rendere più sofisticati e debilitanti gli attacchi. Ogni drone aggiunto è
denaro. Questo spiega perché al primo posto della graduatoria degli Spam c’è la distribuzione di Malware.
3. Sviluppano Interfacce Web per il controllo a distanza della Botnet e per il reporting.
4. Sviluppano Siti con offerte Ddos permettendo all’utente di scegliere il numero dei droni coinvolti, la portata
dell’attacco (in Gigabit) consigliando l’utente sul corretto servizio da richiedere sulla base dell’obiettivo da colpire e
poi pagare di conseguenza.
 Siamo di fronte ad un nuovo Business che vede da una parte chi crea Botnet e vende attacchi Ddos e
dall’altra chi rincorre (Come al solito) e cerca di proteggersi da questa minaccia alla portata di tutti.
Merchandising e volumi venduti
33

 Si tratta di un collettivo di hacktivist, i quali intraprendono azioni di cyber
protesta sotto l'appellativo fittizio di “Anonymous”.
 Dal 2008 in avanti si sono resi protagonisti di una serie molto lunga di
attacchi DDoS che hanno avuto luogo anche in Italia.
www.trenitalia.com
Operation NO TAV
www.torinopiupiemonte.com
www.comune.torino.it
www.comune.vercelli.it
www.consiglioregionale.piemonte.it
www.csipiemonte.it
www.provincia.to.it
www.provincia.torino.it
www.regione.piemonte.it
1-3-2012
www.torino-lione.it
www.Itf-sas.com
www.governo.it
4-3-2012
10-3-2012
Operation GREEN RIGHT
16-4-2013 18-4-2013 22-4-2013
www.oltoffshore.com
17-4-2013
www.oltoffshore.com
www.minambiente.it
www.eni.it
www.enel.it
www.minambiente.it
www.sorgenia.it
www.edison.it
Esempi di «Operation» realizzate tramite
sequenze di attacchi DDOS di durata a volte
considerevole. Nel 2012, Enel è stata oggetto di
155 anomalie di traffico corrispondenti ad oltre
130 ore di attacco di DDoS.
www.comune.livorno.it
www.asaspa.it
www.portolivorno.it
www.grimaldi-lines.com
www.comune.rosignano.it
www.oltoffshore.it
www.minambiente.it
www.enel.it
www.eni.com
www.portodigioiatauro.it
www.consiglioregionale.calabria.it
7-5-2013
www.enigreenpower.it
5-8-2013
www.irenambiente.it
www.irenergia.it
www.oltoffshore.it
www.saipem.com
DDoS e Anonymous
34

Zero Day Attak & APT
35

Zero-day Attak
 Gli attacchi Zero-Day sono vulnerabilità note ad una
piccola cerchia di cracker che vengono utilizzati fino a
quando un "giorno zero" vengono classificati e
riconosciuti (ad esempio il noto heartbleed) e quindi
prodotte patch di sicurezza per la risoluzione della
vulnerabilità
 Gli aggressori si riuniscono in gruppi utilizzando forum/mailing list di modo
da scambiarsi e condividere questo genere di informazioni. I cracker
ricercano in continuazione nuove vulnerabilità in quanto l’esserne in
possesso permette di utilizzarle a fini illeciti per un tempo variabile prima
della loro scoperta e classificazione.
 Dagli Zero-Day Attack è difficile difendersi dato che la vulnerabilità non è
ancora nota e non esistono patch di sicurezza da attivare per proteggersi.
Ne consegue che più è lungo il tempo nel quale gli aggressori possono
utilizzare la vulnerabilità sconosciuta più sarà alto il numero di attacchi
andati a buon fine sulle vittime colpite.
36

APT (Advanced Persistent Threat)
 Questo genere di attacchi (spinti da interessi di tipo politico, sociale o
finanziario) è il più sofisticato e pericoloso.
 La differenza tra un normale attacco e un APT è che gli aggressori non
sono venuti per rubare dati e quindi andare via poco dopo, gli aggressori
sono venuti per rimanere e controllare i sistemi per molto tempo come nel
caso di NetTraveler, APT che nasce nel 2004 e si evolve fino al 2013.
 Si tratta di attacchi sofisticati, determinati e coordinati che partono quasi sempre
dall’ingegneria sociale (mail di Spam/Phishing) ma combinano una moltitudine di
tecniche di attacco per raggiungere l’obiettivo oltre alla progettazione di nuove
tecniche o Malware appositamente studiato.
 Gli attacchi APT sono attacchi studiati che di solito si articolano nel seguente percorso
di attacco :
Attack : A questo punto
l’attacco è alla sua
conclusione, l’attaccante
preleva i dati dalle
piattaforme di interesse e li
sottrae con costanza senza
farsi accorgere.
Scouting : Raccolta
informazioni sulle
vulnerabilità dei sistemi
presenti nella rete
dell’organizzazione per
conoscere le piattaforme e
il loro utilizzo
Installazione :
Espansione delle breccia
verso altri sistemi o client
per permettere di ottenere
una piattaforma di attacco
differenziata controllabile
dall’esterno.
Penetrazione :
Attacco mirato che
consente di aprire una
prima breccia dalla quale
poi propagare l’attacco
verso il centro
dell’organizzazione.
Preparazione :
Raccolta delle informazioni
necessarie per condurre
l’attacco, Nominativi dei
dipendenti, profili internet,
ecc…
37

Mitigare le vulnerabilità analizzate
38

• Di seguito vengono riassunte le vulnerabilità utilizzate nelle tecniche di attacco viste in precedenza in relazione alla criticità
relativa. Viene riportato sinteticamente come risolvere tali vulnerabilità mitigandone il rischio.
Vulnerabilità Mitigazione del rischio Critico
Port Scanning & Data
Sniffing
Utilizzare sempre protocolli cifrati nelle comunicazioni ed eliminare i servizi
non necessari all’erogazione della piattaforma. Marginale
Information Disclosure Disabilitare le pagine non necessarie all’erogazione del servizio e
disabilitare dove possibile (su tutti i servizi presenti) il Banner grabbing. Marginale
Code Injection Effettuare sempre una validazione degli input a livello di codice prima di
farli processare dall’applicazione Rilevante
Path Traversal Eseguire costantemente il Patching Management del server Web e
dell’Application Server e NON far puntare la directory Home del sito web
nel FileSystem del sistema operativo. Evitare il più possibile il passaggio
dei parametri tramite metodo GET
Rilevante
Man in The Middle Eseguire sempre protocolli cifrati con chiavi di cifratura superiore a XX bit Rilevante
Cross Site Scripting
Persistente
Effettuare sempre una validazione degli input a livello di codice (utilizzando
librerie per la sanitizzazione dell’input come in ambito .NET il namespace
System.Web.Security.AntiXss ed Owasp AntiSamy oppure in java il package
org.apache.struts.validator.ValidatorPlugIn messo a disposizione da Struts. E’
possibile anche utilizzare opportuni firewall applicativi) prima di farli
processare dall’applicazione.
Evitare dove possibile l’uso di AJAX e l’uso dei redirect.
Inoltre utilizzare Scanner del codice come ad esempio W3af (Open Source)
o HP Fortify o Acunetix.
Rilevante
Cross Site Scripting NON
Persistente
Vedi Cross Site Scripting Persistente
Rilevante
Mitigazione delle vulnerabilità
39

Tecnica di Attacco Mitigazione del rischio Critico
Open Redirect 1. Limitare reindirizzamenti a siti esterni.
2. Consentire il reindirizzamento solo ad siti in una white-list.
3. Bloccare tutti i reindirizzamenti incondizionatamente.
Rilevante
Cross-site Request
Forgery
Aumentare la consapevolezza degli utenti.
Utilizzare nelle applicazioni prima dell’esecuzione delle richieste dei codici
di conferma come captcha, ID, Token o User/Password.
Abilitare il controllo sull’header HTTP del campo referer tramite
applicazione o server web per essere certi che la pagina precedente (che
ha fatto richiesta) sia appartenente al nostro sito.
Rilevante
Exploit Proteggere i Client e i Server (ad esempio le infrastrutture di posta
elettronica) con opportuni software di rilevazione di malware e mantenere
le firme aggiornate.
Rilevante
Rootkit
Ddos : DNS, SNMP, NTP,
chargen e RADIUS
Affidarsi a Service Provider che garantiscono soluzioni anti DDOS per la
difesa di minacce DDOS. Arbor Network fornisce la soluzione Peakflow
(anomaly detection, che rileva le anomalie del traffico rispetto a un
comportamento “normale” della rete) che si è guadagnata negli ultimi anni
ottima reputazione oppure service provider come ad esempio OVH.
Inoltre sono disponibili moltissimi software /configurazioni (come Dynamic
IP Restrictions Extension per IIS di Microsoft) che permettono un
controllo sulle connessioni in ingresso bannando gli IP che risultano inviare
messaggi non corretti.
Rilevante
Ddos : Syn
Rilevante
Fork Bomb Configurare il sistema operativo per permettere il lancio da parte di un
processo di un determinato numero di Sotto processi. In ambiente Unix
modificare i parametri del file /etc/security/limits.conf, in particolare
nproc che descrive il numero massimo di processi da attivare.
Rilevante
Mitigazione delle vulnerabilità
40

La Cyber Security
41

Il concetto di Rischio
 La sicurezza dei dati è un tema che deve stare a cuore ad ogni dipendente a
prescindere dalla funzione aziendale e dal ruolo che rivestite in azienda.
 Quando si subisce una violazione, non importa se questa sia stata fatta da
un criminale che ruba i dati sensibili e li rivende all’esterno o banalmente è
un dipendente che perda una chiavetta USB con documenti riservati, è
l’azienda a pagarne tutte le conseguenze.
Rischio =
Di perdere dati Aziendali
Minaccia *
Di possibile intrusione sui sistemi
Vulnerabilità
Quantità presenti sui sistemi,
Minaccia Rischio Vulnerabilità
42

La «Cyber Security»
 Con il termine Cyber Security si intende un
insieme di tool, policy, concetti, linee guida,
Gestione del Rischio e Assurance che vengono
utilizzati in concerto per proteggere una
determinata organizzazione e che consenta
una sicurezza efficace nel tempo.
 Molte organizzazioni si affidano agli
amministratori dei sistemi per trovare le soluzioni
più adeguate per proteggersi ma proteggersi non
è limitarsi ad installare un software di sicurezza.
 La sicurezza dei sistemi critici NON deve essere
affidata solo a soluzioni tecnologiche, ne
consegue che la Sicurezza oggi ha necessità di un
approccio industriale fortemente legato ai
processi, sistemico e deve essere «strutturale».
43

Le Priorità
 I dati come abbiamo detto più volte sono il bene più prezioso delle applicazioni.
 Una Sicurezza robusta si ottiene dall’unione di 4 approcci al rischio quali :
1. Consapevolezza : Un utente con la corretta
cultura sugli argomenti della sicurezza non
inserirebbe mai una password predicibile sugli
account utilizzati nei sistemi aziendali. E’ la prima
cosa sulla quale occorre lavorare. La
consapevolezza del rischio è la prima mitigazione
da mettere in campo.
2. Gestione del Rischio : Il rischio va valutato,
gestito e monitorato. Occorre un processo di
gestione che permetta la risoluzione delle
vulnerabilità, Audit e Assessment mirati e
verifiche in campo che permettano di definire
rientri sulle carenze individuate.
3. Tecnica : La sicurezza cambia molto velocemente
perché le minacce costantemente si rinnovano. La
progettazione delle applicazioni e la loro gestione
è fondamentale per la mitigazione del rischio.
Progettare bene equivale ad assicurare i propri
dati da accessi illeciti.
4. Policy e procedure : Regolamentare tramite
Policy, Procedure e linee guida aiuta e definire le
politiche organizzative in termini di sicurezza e
aiuta ad accrescere la consapevolezza.
Awareness
Gestione del
Rischio
Tecnologia
Policy e
procedure
44

Awareness (Consapevolezza)
 Indipendentemente dagli investimenti tecnologici, sono sempre gli utenti che
determinano il reale livello di sicurezza di una azienda.
 Le cinture di sicurezza, il casco una volta non le metteva nessuno. Oggi siamo
consapevoli del rischio e sono parte integranti dei nostri gesti comuni.
 La consapevolezza "awareness" del rischio informatico è una qualità
indispensabile da «inijettare» e mantenere viva nel DNA degli Addetti
informatici che gestiscono i sistemi aziendali e più in generale ai dipendenti.
 Dobbiamo lavorare per permettere che tutti percepiscano la sicurezza come
parte integrante del loro quotidiano lavoro. Questo si può ottenere nei seguenti
modi :
• Campagne di sensibilizzazione : Strutturare corsi di formazione (di diverso grado e complessità sulla
base dei ruoli aziendali come ad esempio video esplicatiivi sulle vulnerabilità) che permettano di istruire il
personale interno ed esterno all’utilizzo corretto dei sistemi informativi. Pensare ad un programma di
sensibilizzazione distribuito nel tempo e non a corsi (anche se di lunga durata) senza aggiornamenti.
• Strutturare Feedback e questionari : Per monitorare l’apprendimento dei corsi effettuati, strutturare
questionari di Feedback che permettano di conoscere il grado di consapevolezza del personale.
• Creare una intranet sulla Sicurezza Digitale : Dovranno essere pubblicate tutte le pillole necessarie a
dettagliare i rischi e le difese dalle minacce informatiche, fornire spazi di discussione e blob su argomenti
relativi la sicurezza digitale. Ne esistono già on line come ad esempio il Google Safety Center.
• Comunicazione preventiva : Sensibilizzare i dipendanti anche tramite l’ausilio di gadget come Tappetini,
Mouse, adesivi (ovviamente sempre tenendo in considerazione una comunicazione accattivante) oltre che
a newsletter, tutorial o promemoria. Da tenere in considerazione che l’umorismo su tematiche di sicurezza
aumenta notevolmente il messaggio e può aiutare il tentativo di educare e sensibilizzare gli utenti.
• Definizione di regole d’oro : Definire un manifesto della sicurezza aziendale da distribuire in azienda
composto da semplici regole dirette e prive di interpretazione che permettano di dire ciò che è possibile da
ciò che non è possibile fare. Distribuire il manifesto in occasini di start-up di progetti o simili.
45

La Gestione del rischio
 La Gestione del rischio è un processo continuo e graduale tramite il quale si
stima e si misura il rischio identificandone la probabilità di accadimento e si
procede nel trattarlo per ottenerne la mitigazione o il totale superamento.
 Deve affrontare sistematicamente tutti i rischi che circondano le attività fatte
nel passato, nel presente e soprattutto nel futuro
 E’ una disciplina in costante evoluzione ed esistono diverse concezioni e definizioni
dei suoi contenuti. Si prende spesso in considerazione l’approccio basato sullo standard
ISO/IEC 27001:2005 o 2013 «Information Technology Security Techniques» che definisce
un approccio olistico, compresi gli aspetti tecnici, economici, strategici, organizzativi e giuridici.
 Di solito un processo di gestione del Rischio è articolato nelle seguenti Macro fasi :
• Identificazione del Rischio : Si propone di misurare i «rischi potenziali» ovvero quanto una organizzazione è
esposta a probabili eventi dannosi.
• Valutazione del rischio : Una volta identificato e misurato il rischio si procede ad analizzare la possibilità di
accadimento di un determinato rischio informatico identificandone le cause e fornendo dettagli per procedere al
relativo rientro. La valutazione del rischio dovrebbe essere effettuata almeno una volta ogni 2 anni su un
determinato sistema.
• Formalizzazione dei rientri : Gli analisti sulla base della valutazione del rischio effettuata definiscono
opportuni Remediation-Plan descrivendo modalità di rientro e tempi formalizzando il loro contenuto con le
funzioni coinvolte che procederanno alla presa in carico e alla lavorazione delle anomalie riscontrate.
• Gestioni dei rientri: I Remediation-Plan ufficializzati verranno monitorati costantemente per rivalutare il rischio
residuo di un determinato sistema sulla base dei rientri effettuati.
• Follow-Up di controllo : Sulla base dei rientri effettuati si procede a valutare in campo tramite
Assessment/Audit la reale risoluzione delle anomalie riscontrate.
Identificazione
del rischio
Analisi del
rischio
Valutazione del
rischio e
Formalizzazione
Gestione dei
rientri
Follow-up di
controllo
46

La Tecnologia
 Anche se la consapevolezza è il primo tra le priorità aziendali in termini di
sicurezza, la tecnica permette di inserire una mitigazione del rischio qualora
la «consapevolezza» possa venir meno.
 Ovviamente maggiore è la complessità aziendale e maggiori saranno le
difficoltà nel mettere in atto misure tecniche di mitigazione efficaci.
 Di seguito alcune indicazioni per ridurre il rischio :
• Gestire il nuovo diversamente dal vecchio : fare scuola e «state of art» sul nuovo andando oltre a
quanto consigliato dalle linee guida internazionali (Verrà analizzato in una slide successiva)
• Predilige una gestione infrastrutturale delle credenziali : Implementare soluzioni di accesso non locali
alle macchine ma infrastrutturali (LDAP, Kerberos, ecc…)
• Patching Management: Prevedere il Patching Management cadenzato su ogni strato software
• Gestire password complesse : Come visto nell’Hardening, le password ad oggi sono un «point of faliure»
da non sottavolatura. Applicare policy restrittive maggiori di quanto consigliato nelle linee guida
internazionali, eliminare le password di default, permette di ridurre di molto le intrusioni.
Inoltre non dovranno essere presenti credenziali in chiaro ma sempre criptate con algoritmi di Hashing
robusti (Ad esempio B-Crypt(10) o Sha512).
47

La Tecnologia (Gestire il nuovo diversamente dal vecchio)
 Un sistema in campo da 5 anni non può essere sicuro come un sistema nato oggi in quanto 5 anni fa i
requisiti di sicurezza erano totalmente differenti da quelli di oggi e le tecniche di attacco meno raffinate.
 La Gestione del rischio deve prevedere sia la mitigazione del rischio sui sistemi «in esericizio» ma anche
requisiti di sicurezza attualizzati sui sistemi «in delivery». Un sistema nuovo deve nascere sicuro,
l’implementazione dei requisiti di sicurezza sul nuovo costa meno e risulta più efficace.
1. Limitare i sistemi operativi e i middleware : Definire a livello di prodotti una quantità limitata di Sistemi operativi
e middleware da utilizzare (Ad esempio Suse Linux, Windows 2008 Server e Solaris).
Definire per ogni sistema operativo delle line guida di configurazione sicura.
2. Limitare i linguaggi di programmazione da utilizzare : Una web application può essere scritta in centinaia di
linguaggi differenti ed ogniuno potrebbe utilizzare differenti Application server e web server di supporto.
Standardizzare i linguaggi di programmazione utilizzabili (ad es. soltanto Java e Microsoft.NET).
3. Attivare lo sviluppo sicuro del codice : Uno sviluppo industriale che contempli la scansione del codice e
l’introduzione nei requisiti di sistema anche i requisiti si sicurezza (ad es. Sensitive date Exposure, Broken
Authentication and Session management , Missing Function Level Access Control, ecc…).
4. Patching Management: Chi progetta un’applicazione deve prevedere il Patching Management cadenzato su ogni
strato software riducendo al minimo gli impatti sugli applicativi.
5. Prediligere il running su Hypervisor : la virtualizzazione tramite la clonazione delle Virtual Machine introduce una
standardizzazione nelle istallazioni dei sistemi operativi e dei Middleware.
1. Definire template già Hardenizzati (ad esempio con password policy attive, disabilitazione dei servizi non necessari,
algoritmi di Hashing robusti ecc..) qualora sia necessaria una configurazione che introduca un rischio verrà effettuata sulla
base di specifiche esigenze del sistema che dovranno essere tracciate nei profili dei sistemi.
2. Prevedere una set di template contenenti software preconfigurato e correttamente hardenizzato da utilizzare al bisogno
sulla base delle tecnologie scelte nei punti 1 e 2 (Web Server, Database server, Application server, ecc..)
6. Inserire i requisiti di sicurezza insieme ai requisiti utente : i requisiti di sicurezza devono essere trattati
insieme ai requisiti utente e prevedere durante la fase di sviluppo opportuni test di verifica che permettano di
valutare l’implementazione effettuata.
7. Verifiche di pre-esercizio : effettuare Assessment mirati ai sistemi prima del rilascio in esercizio per
comprendere quali requisiti di sicurezza sono stati parzialmente implementati. Tali non conformità dovranno
essere inserite in appositi piani di rientro da trattare nel processo della gestione del rischio.
48

Le Policy e Procedure
 La sicurezza informatica è fatta anche da principi imprescindibili che devono
essere rispettati per rendere sicuri i sistemi informativi.
 Per far questo occorre definire delle «Politiche di sicurezza» e declinare
opportune procedere e linee guida che regolamentino e soddisfino i principi
espressi nelle policy. Tali Policy e procedure dovranno tenere conto della
Governance aziendale, della Compliance a Leggi nazionali e internazionali.
 La stesura di questi regolamenti deve naturalmente accordarsi con le leggi vigenti e
particolare attenzione va rivolta al rispetto delle normativa nel campo del diritto del lavoro,
della regolamentazione sulla privacy e delle leggi che sanzionano i reati informatici.
• Le policy e le procedure si distinguono in :
• Policy Generali : Indirizzate a tutto il personale aziendale come ad esempio la policy sulla gestione e
complessità della password e dell’utilizzo della rete Wi-Fi oppure della Posta elettronica.
• Policy Specifiche : Regolamentano precisi ambiti aziendali o un determinato gruppo di personale.
• Procedure di alto livello : Descrivono a macro passi il processo da utilizzare in un contesto
organizzativo.
• Procedure Operative : Procedure che descrivono minuziosamente (senza dare nulla per scontato) il
processo da adottare per raggiungere un determinato obiettivo.
• Le policy e procedure devono essere il più possibile :
• Semplici : e quindi efficaci sia al contesto che alla lettura. Utilizzare quindi un linguaggio fruibile e
diagrammi di flusso per descrivere il processo nel modo più appropriato al contesto organizzativo.
• Attualizzate : Oltre a contenere un codice di protocollo, una funzione e una data di emissione,
dovranno essere riviste con cadenza periodica per consentirne il giusto aggiornamento.
• Pubbliche : Dovranno essere disponibili in un repository ufficiale accessibile a tutti e la nuova
emissione dovrà essere indirizzata alle funzioni utilizzatrici per ogni singolo aggiornamento.
49

Allegati
50

Glossario
 Security Treath : Minaccia informatica.
 APT : Advanced Persistent Threat, attacchi mirati e persistenti
 NSA : (National Security Agency); Agenzia governativa americana che si occupa della sicurezza in ambito nazionale e
del monitoraggio per tutelarne l'integrità da attacchi di qualunque tipo.
 NIST : (National Institute of Standards and Technology); agenzia governativa americana che ha emesso uno standard
di sicurezza informatica che pone l'accento sull'importanza dei controlli di sicurezza e sul modo di implementarli.
 SoGP : lista completa emessa dall'ISF (Information Security Forum) delle migliori pratiche per la sicurezza delle
informazioni.
 Standard ISO 27001 : normativa internazionale emessa nel 2005 che fornisce i requisiti di un Sistema di Gestione
della Sicurezza.
 Standard ISO 27002 : normativa emessa nel 2007 che stabilisce i criteri di sicurezza quali integrità, riservatezza e
disponibilità dei dati.
 ISACA : (Information Systems Audit and Control Association); Fonte centralizzata di informazioni su IT governance.
 Owasp : (Open Web Application Security Project); Progetto open-source che ha lo scopo di divulgare le principali
vulnerabilità di sicurezza riscontrate nel web.
 Hacker : colui che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che
gli vengono imposte.
 Cracker : colui che si ingegna per eludere blocchi imposti da qualsiasi software al fine di trarne profitto.
 Lamer : è un aspirante cracker con conoscenze informatiche limitate.
 Phisher : cracker che utilizza il phishing come tecnica di ingegneria sociale
 Backdoor : punto di passaggio tramite il quale è possibile prendere il controllo di un dato sistema.
 Sniffing : Tecnica che permette di intercettare i pacchetti in transito da una sorgente ad una destinazione.
 Trojan Hourse : Software che appaiono apparentemente utili ma che nascondono al loro interno Malware di diversa
natura.
 Rootkit : Software che permette di avere diritti amministrativi su un dato computer senza avere autorizzazioni
specifiche da parte di altri Amministratori.
 Buffer Overflow : tecnica che prevede l'invio di dati superiori a quanto consentito
 Dos :(Denial of service); tecnica di negazione del servizio da parte di un dato sistema.
51

Glossario
 DDos : (Distributed denial of service); tecnica distribuita di attacco Dos.
 DrDos : (Distributed Reflaction denial of service); tecnica distribuita e amplificata di attacco Dos.
 Exploit : Tecnica che permette di compromettere un sistema sfruttando anomalie dei software.
 Ingegneria sociale : tecnica che prevede la raccolta di informazioni di un contatto per carpirne la sua fiducia.
 Keylogger : Software che permette il logging di ogni azione effettuata dagli utenti di un sistema in modo trasparente.
 Phishing : Tecnica di ingegneria sociale per indurre una vittima a consegnare ai phisher dati sensibili come ad
esempio credenziali di accesso o carte di credito.
 Port scanning : Tecnica di rilevazione delle porte attive di un computer per permettere attacchi mirati.
 Virus : Software appartenente alla categoria dei Malware che ha la capacità di infettare file e cartelle eseguendo copia
di se stesso spesso all'insaputa dell'utente.
 Spoofing : inpersonificare una altro utente attraverso la falsificazione dei dati (ip address, mac address, credenziali
applicative, ecc..)
 Wabbit : deriva da Rabbit, Malware che attacca le risorse del sistema duplicando in continuazione la propria immagine
su disco e attivando in memoria nuove istanze di se stesso.
 Botnet : insieme di computer compromessi e infetti da Malware che possono essere comandati a distanza per
condurre ad esempio attacchi Ddos.
 BotMaster : Cracker che comanda la Botnet.
 Three-way handshake : metodo di avvio e convalida connessione dei pacchetti tcp-ip
 Zombie : computer compromesso all'insaputa dell'utente da Malware in maniera da permettere il controllo parziale o
completo da parte di un cracker.
 Data Breach : Attacco informatico che ha comportato una compromissione dei dati di un Sistema
 US-CERT : (The United States Computer Emergency Readiness Team); CERT Americano.
 CERT : (Computer Emergency Response Team); organizzazioni finanziate da Università o Enti Governativi che hanno
come scopo la raccolta di segnalazioni su incidenti informatici e potenziali vulnerabilità del software.
 FIRST : (Forum of Incident Response and Security Teams); consorzio di CERT.
52

Glossario
 SANS Institute : (SysAdmin, Audit, Networking, and Security); organizzazione dedicata alla divulgazione ed
educazione della sicurezza informatica.
 OneGuard online : sito internet che fornisce consigli per aiutare gli utenti ad essere al riparo da frodi internet.
 Microsoft Online Safety : sito internet che divulga informazioni sulla sicurezza del pc, sulla privacy digitale e sulla
protezione on line.
 Cyber-Intelligence : Capacità di rilevare ed elaborare notizie di interesse al fine di prevenire, rilevare e contenere le
minacce.
 Cyber-Security : Insieme di tool, policy, concetti, linee guida, Gestione del rischio e Assurance che vengono utilizzati
in concerto per proteggere una determinata organizzazione.
 Cyber-Space : spazio condiviso tra infrastrutture informatiche interconnesse, hardware, software, dati, utenti, nonché
relazioni logiche stabilite tra essi.
 Requisiti Cogenti : Requisiti che devono essere implementati perché stabilite da opportune leggi.
 Common Vulnerabilities and Exposures : E’ un dizionario di vulnerabilità e falle di sicurezza note pubblicamente.
È mantenuto dalla MITRE Corporation e finanziato dalla National Cyber Security Division
 Best Practice : Si intendono in genere le esperienze più significative, o comunque quelle che hanno permesso di
ottenere migliori risultati, relativamente a svariati contesti
 Payload :
 Reverse Shell : Backdoor che permette l’accesso tramite prompt dei comandi con diritti di amministratore (ad esempi
ssh) ad un server remoto. Mentre la «Direct Shell» consente il collegamento da chi attacca al server vittima, la
«Reverse shell» è il Server vittima che fornisce la shell all’attaccante.
 Pass-Through : Tecniche che consentono di Percorre/transitare attraverso un Firewall.
 Trojan : (In inglese Cavallo di Troia) Programma apparentemente utile installato spesso dall’utente stesso che
contiene al proprio interno Malware di diversa natura.
 Worm : (In inglese verme) Si tratta di un Malware che ha la capacità di autoreplicarsi anche senza legarsi
strettamente con un programma eseguibile molto spesso distribuito come allegato in una mail.
 Siem : Security Information and Event Management (SIEM) in italiano si può tradurre come Sistema di Gestione delle
Informazioni e degli eventi di Sicurezza
53

Glossario
 Sensitive date Exposure : Chi progetta un’applicazione web deve proteggere i dati sensibili degli utenti come codici
di carte di credito, utenze, ecc…
 Broken Authentication and Session management : Non inserire Password in chiaro sul file System, quindi su shell,
batch e codice applicativo. Le password devono essere sempre registrati con algoritmi di Hashing robusti (Sha512,
Bycrypt, ecc…)
 Missing Function Level Access Control : Differenziare le autorizzazioni tra Utenza anonima, Amministratore o
Addetto IT. Definire profili di accesso con differenti privilegi su tutti i layer applicativi
54

Fisherman's tale easy security threat 4.0

More Related Content

What's hot

Similar to Fisherman's tale easy security threat 4.0

Fisherman's tale easy security threat 4.0