SlideShare a Scribd company logo

Minaccie Vere Vulnerabilita Evitabili

Sandro Fontana
Sandro Fontana

La sicurezza inizia dalla nostra volontà di organizzarci

Technology
1 of 6
Download to read offline
laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 1 [6] Anno I - numero 2 - 17 febbraio 2003 Minaccie vere, vulnerabilità evitabili: gestione della sicurezza di Sandro Fontana - sfontana@secure-edge.com Il 25 gennaio ultimo scorso, alle 05:30 (UTC) il traffico su tutta Internet riferito alla porta 1413 è aumentato a dismisura, causando la saturazione ed anche il blocco di molti dei grandi nodi della rete. Una idea di cosa questo significhi, può darla il grafico seguente [source: http://www.sans.org] : Questo è il modo in cui il worm SQL Slammer, conosciuto anche come Sapphire o SQL Hell si è presentato alla Comunità. Il worm sfrutta a suo vantaggio una vulnerabilità da buffer overflow, presente su Microsoft SQL Server 2000; di per se non è particolarmente sofisticato, ne malevolo: cerca i sistemi da infettare generando indirizzi IP in modo random, non contiene back door, o codice per attività di fllooding, come ad esempio Code Red ed essendo residente solo in memoria, un semplice reboot del sistema permette la sua eliminazione … fino a quando un computer vicino infetta nuovamente il sistema appena ripartito! Nonostante la sua semplicità ed avendo come unico scopo quello di infettare altri sistemi, il worm ha costretto i computer infettati a generare una quantità enorme di traffico, dando luogo, quasi involontariamente, ad un vero e proprio denial of service.
laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 2 [6] A seguito di questo evento, in tutto il mondo si sono riportati parecchi danni, perdite dovute ai tempi di problem determination, reboot dei sistemi, ripresa delle attività, non rispetto dei livelli di servizio, etc… In Italia, il caso più eclatante [naturalmente di quelli ufficialmente riportati] lo ha avuto Poste Italiane, che si è ritrovata, il lunedì mattina, con circa 14.000 sportelli bloccati; se andiamo a cercare altrove troveremo che negli USA, anche gli ATM (bancomat) della Bank of America, sono stati vittima di questo worm; alla fine di sabato, in USA sono stati dennunciati 35.000 host infettati, mentre Incident.Org ha dichiarato che per le 10:00am (EST) [cioè 15:00 UTC] di domenica, erano 120.000 gli indirizzi IP che risultavano colpiti. Perché un worm come SQL Slammer, ha potuto essere così efficace ? Ha sfruttato una nuova e nascosta vulnerabilità del MS- SQL Server 2000 ? E’ forse un complotto del terrorismo Assiro-Babilonese ad effetto ritardato ? La realtà è diversa ed ahimè, piuttosto banale. Andando con ordine: Il 24 luglio 2002, la Microsoft ha comunicato [1] per la prima volta la presenza di una vulnerabilità da buffer overflow, sul suo SQL Server 2000; tra l’altro la Microsoft ha riportato che questa vulnerabilità è presente anche sul MSDE 2000 (Desktop Edition) , piattaforma utilizzata dagli sviluppatori software e presente all’interno di numerosi packages. Il worm usa il protocollo UDP sulla porta 1434, quindi un primo consiglio fu quello di bloccare solo il traffico UDP in/out relativo a questa porta, non tutto il traffico: questa porta è usata da MS SQL 2000; (questo è quello che hanno fatto gli ISP di mezzo mondo da sabato mattina allo scopo, in parte riuscito, di limitare la diffusione del worm) Il 16 ottobre 2002, la Microsoft emise il Security Bulletin MS02-061 che conteneva le spiegazioni del caso e la prima patch da installare; ad essa seguiva dopo pochi giorni [30 ottobre 2002] una non-security hotfix (317748) che risolveva alcuni problemi procedurali introdotti dalla patch. Infine, allo scopo di agevolare il più possibile gli utenti, il 28 gennaio 2003 Microsoft ha riemesso la patch originale e l’hotfix come package integrato.
laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 3 [6] In pratica per ripulire un sistema infettato dal worm SQL Slammer, la procedura da seguire è la seguente: disconnettere il computer dalla rete; fare lo shutdown e spegnere il sistema; eseguire un reboot (a freddo); applicare le patches; riconnettere il sistema alla rete e monitoralo !! Ora, credo di non essere annoverato tra i fans di Microsoft, ma obbiettivamente mi sembra che questa ultima abbia fatto tutto quello che era necessario, desiderabile e possibile per correggere un bug, non appena questo era stato messo in evidenza. Mi chiedo quindi di nuovo: con tutto l’anticipo temporale avuto, le advisory, la patch del fornitore disponibile, le spiegazioni del caso … … perché un worm come SQL Slammer, ha potuto essere così efficace ? Credo che la risposta sia: mancanza di un processo continuo di Patch Management. In realtà il problema è più ampio. Da dove viene il concetto di Patch Management ? Tanto per cambiare, inizierei dalla ISO/IEC 17799 [3], Code of Practice per il conseguimento di un Information Security Management System o ISMS. ISMS è l’acronimo di quattro parole inglesi, che ormai sappiamo pronunciare correttamente e di cui conosciamo anche il significato ; il problema è che una di queste parole, guarda caso quella più importante, da quasi tutte le organizzazioni è pressoché disattesa e sottovalutata; naturalmente la parola è: management.
laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 4 [6] Tolta questa parola, quello che rimane è Information Security System, un qualcosa che ormai quasi tutte le organizzazioni con un minimo di preoccupazione sul loro futuro, hanno attivato e che risulta, oltre che grammaticalmente corretto, purtroppo anche apparentemente valido. Questo approccio difetta quindi della parola management, e di ciò che questo significa: valutazione dei rischi a cui è esposta l’organizzazione, necessaria per l’identificazione delle minacce e delle vulnerabilità esistenti e base per la stima dell’impatto potenziale sull’Azienda; valutazione degli obblighi legali e contrattuali e dei regolamenti aziendali; sviluppo e supporto dei principi, degli obiettivi e dei requisiti aziendali; implementazione, verifica, evoluzione delle contromisure identificate; Il Security Management è composto da una serie di aree o compiti, tra le quali troviamo il Vulnerability Management; quest’area deve essere considerata uno dei principali obiettivi da gestire da parte di una Azienda, in quanto le vulnerabilità esistono indipendentemente dalle eventuali patches che possono eliminale o almeno ridurle. A sua volta il Vulnerability Management è strutturato in una serie di attività, tra le quali troviamo il Patch Management, che è poi l’attività generalmente non effettuata e per questo al 90% responsabile [4] degli accadimenti descritti all’inizio di questo articolo. A voler essere pignoli, la ISO/IEC 17799:2000 vede la gestione delle patches orientata solo al sistema operativo: […] 10.5.2 Technical review of operating system changes Periodically it is necessary to change the operating system, e.g. to install a newly supplied software release or patches. When changes occur, the application systems should be reviewed and tested to ensure that there is no adverse impact on operation or security. […] ma è chiaro che noi dobbiamo intenderla estesa a tutto quello che è possibile, cioè network applications, user applications, operating systems e qualsiasi altro software che possa richiedere l’analisi delle sue funzionalità a fronte della scoperta di una nuova vulnerabilità o periodicamente necessitare dell’applicazione di una patch di sicurezza.
laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 5 [6] Cerchiamo quindi di effettuare un temporaneo upgrade allo standard, considerando queste norme pratiche: Definire nelle Security Policy le procedure e le responsabilità relative al Patch Management Gestire un inventario completo delle apparecchiature ICT Concordare internamente o in outsourcing un servizio di vulnerability alert Valutare l’applicabilità degli alert al proprio patrimonio ICT Definire le modalità ed i gradi di intervento sulle vulnerabilità scoperte Valutare l’applicabilità delle patches una volta che queste sono rese disponibili (controllare side effect negativi) Ridurre la finestra di esposizione con l’istallazione tempestiva delle patches Controllare che le misure fin qui adottate abbiano ridotto o messo sotto controllo le vulnerabilità Riepilogando quindi, mi sento in dovere di assolvere un produttore di software, se questo è stato pronto a risolvere una debolezza/bug/vulnerabilità nel proprio prodotto, proponendo una correzione/patches nei tempi adeguati. Alla fin fine, scagli il primo gigabyte, colui che non ha mai scritto software errato! Il problema vero risiede nella window of vulnerability [5], cioè nel periodo temporale compreso tra la disponibilità al pubblico della patch e la data in cui questa patch viene installata sui sistemi target: tipicamente si parla di mesi ! Il fatto poi che il patch management sia una delle attività di sicurezza che coprono solo una parte dell’aspetto tattico del Security Management e che non abbia quindi nulla a che vedere con le attività relative all’aspetto stategico di questo, credo sarà argomento di un prossimo articolo.
laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 6 [6] Note bibliografiche: [1] Microsoft Security Bulletin (originally posted July 24, 2002): http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp [2] Incidents.org preliminary analysis of worm (includes a packet trace): http://isc.incidents.org/analysis.html?id=180 [3] International Standard ISO/IEC 17799:2000 First edition 2000-12-01; Information technology — Code of practice for information security management: http://www.iso.ch [4] J.G.Perez, “Gardner: Most IT Security Problems Self-Inflicted”, Computerworld, 9 Oct. 2001: http://www.computerworld.com/securitytopics/security/story/0,10801,64605,00.html [5] B. Schneier, “Closing the Window of Exposure”, Counterpane Internet Security 2002: http://www.counterpane.com/window.html Altre informazioni relative al worm: Original Vulnerability Analysis by David Litchfield: http://www.nextgenss.com/advisories/mssql-udp.txt CERT Advisory: http://www.cert.org/advisories/CA-2002-22.html http://www.cert.org/advisories/CA-2003-04.html Microsoft Advisory: http://www.microsoft.com/security/slammer.asp

Recommended

Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiSymantec Italia
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...Symantec
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017SMAU
 
Clarissa Molfino, Microsoft - SMAU Bologna 2017
Clarissa Molfino, Microsoft - SMAU Bologna 2017Clarissa Molfino, Microsoft - SMAU Bologna 2017
Clarissa Molfino, Microsoft - SMAU Bologna 2017SMAU
 
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezzaAntivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezzaPiazza Telematica Schio
 
Luca De Vincenti, Microsoft - SMAU Bologna 2017
Luca De Vincenti, Microsoft - SMAU Bologna 2017Luca De Vincenti, Microsoft - SMAU Bologna 2017
Luca De Vincenti, Microsoft - SMAU Bologna 2017SMAU
 
Vectors
VectorsVectors
VectorsRegis Komperda
 

Recommended

Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiSymantec Italia
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...
Preparazione ad attacchi futuri. Soluzione in breve: Come implementare la gi...Symantec
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017SMAU
 
Clarissa Molfino, Microsoft - SMAU Bologna 2017
Clarissa Molfino, Microsoft - SMAU Bologna 2017Clarissa Molfino, Microsoft - SMAU Bologna 2017
Clarissa Molfino, Microsoft - SMAU Bologna 2017SMAU
 
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezzaAntivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezza
Antivirus, Firewall e un po' di intelligenza: la ricetta per la sicurezzaPiazza Telematica Schio
 
Luca De Vincenti, Microsoft - SMAU Bologna 2017
Luca De Vincenti, Microsoft - SMAU Bologna 2017Luca De Vincenti, Microsoft - SMAU Bologna 2017
Luca De Vincenti, Microsoft - SMAU Bologna 2017SMAU
 
Vectors
VectorsVectors
VectorsRegis Komperda
 
DañOs Del Huracan Gustav En Cuba
DañOs Del Huracan Gustav En CubaDañOs Del Huracan Gustav En Cuba
DañOs Del Huracan Gustav En Cubaguest0bb538
 
Vad gör barnen på nätet
Vad gör barnen på nätetVad gör barnen på nätet
Vad gör barnen på nätettomhard
 
Si eres capaz de leerlo, eres muy Inteligencia
Si eres capaz de leerlo, eres muy InteligenciaSi eres capaz de leerlo, eres muy Inteligencia
Si eres capaz de leerlo, eres muy InteligenciaBerli Onle
 
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsariSandro Fontana
 
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouJustin Premick
 
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaSandro Fontana
 
LiveHive Systems tvClickr & NBC Screenshots
LiveHive Systems tvClickr & NBC ScreenshotsLiveHive Systems tvClickr & NBC Screenshots
LiveHive Systems tvClickr & NBC ScreenshotsShannon Cunningham
 
Socialanatverk - oktober 09
Socialanatverk - oktober 09Socialanatverk - oktober 09
Socialanatverk - oktober 09tomhard
 
Periodic Table E Config
Periodic Table E ConfigPeriodic Table E Config
Periodic Table E ConfigRegis Komperda
 
CAD & GIS-Connecting the Two Worlds
CAD & GIS-Connecting the Two WorldsCAD & GIS-Connecting the Two Worlds
CAD & GIS-Connecting the Two WorldsRaghavendran S
 
Wacky Definitions
Wacky DefinitionsWacky Definitions
Wacky Definitionsmomentari kl
 
Email Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality CheckEmail Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality CheckJustin Premick
 
Semester 1 Review Jeopardy
Semester 1 Review JeopardySemester 1 Review Jeopardy
Semester 1 Review JeopardyRegis Komperda
 
Portafolio Connie Ortega
Portafolio Connie OrtegaPortafolio Connie Ortega
Portafolio Connie OrtegaConnie Ortega
 
Book Connie Ortega
Book Connie OrtegaBook Connie Ortega
Book Connie OrtegaConnie Ortega
 
Employee Engagement
Employee EngagementEmployee Engagement
Employee EngagementJean-Pierre Lacroix, R.G.D.
 
Periodic Table E Config
Periodic Table E ConfigPeriodic Table E Config
Periodic Table E ConfigRegis Komperda
 
Ara7235 A[2]
Ara7235 A[2]Ara7235 A[2]
Ara7235 A[2]guesta8f652
 
Data is Power
Data is PowerData is Power
Data is PowerRaghavendran S
 
Los tres estados del hombre
Los tres estados del hombreLos tres estados del hombre
Los tres estados del hombreBerli Onle
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Dedagroup Security
Dedagroup SecurityDedagroup Security
Dedagroup SecurityDedagroup
 

More Related Content

Viewers also liked

DañOs Del Huracan Gustav En Cuba
DañOs Del Huracan Gustav En CubaDañOs Del Huracan Gustav En Cuba
DañOs Del Huracan Gustav En Cubaguest0bb538
 
Vad gör barnen på nätet
Vad gör barnen på nätetVad gör barnen på nätet
Vad gör barnen på nätettomhard
 
Si eres capaz de leerlo, eres muy Inteligencia
Si eres capaz de leerlo, eres muy InteligenciaSi eres capaz de leerlo, eres muy Inteligencia
Si eres capaz de leerlo, eres muy InteligenciaBerli Onle
 
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsariSandro Fontana
 
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouJustin Premick
 
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaSandro Fontana
 
LiveHive Systems tvClickr & NBC Screenshots
LiveHive Systems tvClickr & NBC ScreenshotsLiveHive Systems tvClickr & NBC Screenshots
LiveHive Systems tvClickr & NBC ScreenshotsShannon Cunningham
 
Socialanatverk - oktober 09
Socialanatverk - oktober 09Socialanatverk - oktober 09
Socialanatverk - oktober 09tomhard
 
Periodic Table E Config
Periodic Table E ConfigPeriodic Table E Config
Periodic Table E ConfigRegis Komperda
 
CAD & GIS-Connecting the Two Worlds
CAD & GIS-Connecting the Two WorldsCAD & GIS-Connecting the Two Worlds
CAD & GIS-Connecting the Two WorldsRaghavendran S
 
Email Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality CheckEmail Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality CheckJustin Premick
 
Semester 1 Review Jeopardy
Semester 1 Review JeopardySemester 1 Review Jeopardy
Semester 1 Review JeopardyRegis Komperda
 
Portafolio Connie Ortega
Portafolio Connie OrtegaPortafolio Connie Ortega
Portafolio Connie OrtegaConnie Ortega
 
Periodic Table E Config
Periodic Table E ConfigPeriodic Table E Config
Periodic Table E ConfigRegis Komperda
 
Los tres estados del hombre
Los tres estados del hombreLos tres estados del hombre
Los tres estados del hombreBerli Onle
 

Viewers also liked (20)

DañOs Del Huracan Gustav En Cuba
DañOs Del Huracan Gustav En CubaDañOs Del Huracan Gustav En Cuba
DañOs Del Huracan Gustav En Cuba
 
Vad gör barnen på nätet
Vad gör barnen på nätetVad gör barnen på nätet
Vad gör barnen på nätet
 
Si eres capaz de leerlo, eres muy Inteligencia
Si eres capaz de leerlo, eres muy InteligenciaSi eres capaz de leerlo, eres muy Inteligencia
Si eres capaz de leerlo, eres muy Inteligencia
 
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsari
 
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love You
 
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
 
LiveHive Systems tvClickr & NBC Screenshots
LiveHive Systems tvClickr & NBC ScreenshotsLiveHive Systems tvClickr & NBC Screenshots
LiveHive Systems tvClickr & NBC Screenshots
 
Socialanatverk - oktober 09
Socialanatverk - oktober 09Socialanatverk - oktober 09
Socialanatverk - oktober 09
 
Periodic Table E Config
Periodic Table E ConfigPeriodic Table E Config
Periodic Table E Config
 
CAD & GIS-Connecting the Two Worlds
CAD & GIS-Connecting the Two WorldsCAD & GIS-Connecting the Two Worlds
CAD & GIS-Connecting the Two Worlds
 
Wacky Definitions
Wacky DefinitionsWacky Definitions
Wacky Definitions
 
Email Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality CheckEmail Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality Check
 
Semester 1 Review Jeopardy
Semester 1 Review JeopardySemester 1 Review Jeopardy
Semester 1 Review Jeopardy
 
Portafolio Connie Ortega
Portafolio Connie OrtegaPortafolio Connie Ortega
Portafolio Connie Ortega
 
Book Connie Ortega
Book Connie OrtegaBook Connie Ortega
Book Connie Ortega
 
Employee Engagement
Employee EngagementEmployee Engagement
Employee Engagement
 
Periodic Table E Config
Periodic Table E ConfigPeriodic Table E Config
Periodic Table E Config
 
Ara7235 A[2]
Ara7235 A[2]Ara7235 A[2]
Ara7235 A[2]
 
Data is Power
Data is PowerData is Power
Data is Power
 
Los tres estados del hombre
Los tres estados del hombreLos tres estados del hombre
Los tres estados del hombre
 

Similar to Minaccie Vere Vulnerabilita Evitabili

La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Dedagroup Security
Dedagroup SecurityDedagroup Security
Dedagroup SecurityDedagroup
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
UN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAUN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAVincenzo Calabrò
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hatwalk2talk srl
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeCONFINDUSTRIA TOSCANA NORD
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniS.info Srl
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testingAlessandra Zullo
 
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdfHelpRansomware
 
Guida al Computer - Lezione 52 - Il Sistema Operativo Parte 2
Guida al Computer - Lezione 52 - Il Sistema Operativo Parte 2Guida al Computer - Lezione 52 - Il Sistema Operativo Parte 2
Guida al Computer - Lezione 52 - Il Sistema Operativo Parte 2caioturtle
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 

Similar to Minaccie Vere Vulnerabilita Evitabili (20)

La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Dedagroup Security
Dedagroup SecurityDedagroup Security
Dedagroup Security
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 
UN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAUN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZA
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hat
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioni
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testing
 
Sicurezza nelle web apps
Sicurezza nelle web appsSicurezza nelle web apps
Sicurezza nelle web apps
 
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
Ransomware Definizione: Cos’è E Perchè È Pericoloso.pdf
 
2020 01 23_n03_proscia
2020 01 23_n03_proscia2020 01 23_n03_proscia
2020 01 23_n03_proscia
 
Guida al Computer - Lezione 52 - Il Sistema Operativo Parte 2
Guida al Computer - Lezione 52 - Il Sistema Operativo Parte 2Guida al Computer - Lezione 52 - Il Sistema Operativo Parte 2
Guida al Computer - Lezione 52 - Il Sistema Operativo Parte 2
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007
 

More from Sandro Fontana

Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaBlockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaSandro Fontana
 
Sgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISandro Fontana
 
SGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISandro Fontana
 
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfSandro Fontana
 
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2Sandro Fontana
 
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaPaper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaSandro Fontana
 
Paper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferencePaper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferenceSandro Fontana
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...Sandro Fontana
 
Che Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedChe Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedSandro Fontana
 
Critical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NCritical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NSandro Fontana
 
Security Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSecurity Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSandro Fontana
 

More from Sandro Fontana (13)

Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaBlockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a Bevagna
 
Sgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep II
 
SGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep I
 
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.Pdf
 
The Missing Link
The Missing LinkThe Missing Link
The Missing Link
 
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2
 
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaPaper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario Epa
 
Paper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferencePaper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual Conference
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
 
Che Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedChe Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! Iged
 
Critical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NCritical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi N
 
Security Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSecurity Certification Vs Marketing Hype
Security Certification Vs Marketing Hype
 
Paper E Sign
Paper E SignPaper E Sign
Paper E Sign
 

Minaccie Vere Vulnerabilita Evitabili

  • 1. laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 1 [6] Anno I - numero 2 - 17 febbraio 2003 Minaccie vere, vulnerabilità evitabili: gestione della sicurezza di Sandro Fontana - sfontana@secure-edge.com Il 25 gennaio ultimo scorso, alle 05:30 (UTC) il traffico su tutta Internet riferito alla porta 1413 è aumentato a dismisura, causando la saturazione ed anche il blocco di molti dei grandi nodi della rete. Una idea di cosa questo significhi, può darla il grafico seguente [source: http://www.sans.org] : Questo è il modo in cui il worm SQL Slammer, conosciuto anche come Sapphire o SQL Hell si è presentato alla Comunità. Il worm sfrutta a suo vantaggio una vulnerabilità da buffer overflow, presente su Microsoft SQL Server 2000; di per se non è particolarmente sofisticato, ne malevolo: cerca i sistemi da infettare generando indirizzi IP in modo random, non contiene back door, o codice per attività di fllooding, come ad esempio Code Red ed essendo residente solo in memoria, un semplice reboot del sistema permette la sua eliminazione … fino a quando un computer vicino infetta nuovamente il sistema appena ripartito! Nonostante la sua semplicità ed avendo come unico scopo quello di infettare altri sistemi, il worm ha costretto i computer infettati a generare una quantità enorme di traffico, dando luogo, quasi involontariamente, ad un vero e proprio denial of service.
  • 2. laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 2 [6] A seguito di questo evento, in tutto il mondo si sono riportati parecchi danni, perdite dovute ai tempi di problem determination, reboot dei sistemi, ripresa delle attività, non rispetto dei livelli di servizio, etc… In Italia, il caso più eclatante [naturalmente di quelli ufficialmente riportati] lo ha avuto Poste Italiane, che si è ritrovata, il lunedì mattina, con circa 14.000 sportelli bloccati; se andiamo a cercare altrove troveremo che negli USA, anche gli ATM (bancomat) della Bank of America, sono stati vittima di questo worm; alla fine di sabato, in USA sono stati dennunciati 35.000 host infettati, mentre Incident.Org ha dichiarato che per le 10:00am (EST) [cioè 15:00 UTC] di domenica, erano 120.000 gli indirizzi IP che risultavano colpiti. Perché un worm come SQL Slammer, ha potuto essere così efficace ? Ha sfruttato una nuova e nascosta vulnerabilità del MS- SQL Server 2000 ? E’ forse un complotto del terrorismo Assiro-Babilonese ad effetto ritardato ? La realtà è diversa ed ahimè, piuttosto banale. Andando con ordine: Il 24 luglio 2002, la Microsoft ha comunicato [1] per la prima volta la presenza di una vulnerabilità da buffer overflow, sul suo SQL Server 2000; tra l’altro la Microsoft ha riportato che questa vulnerabilità è presente anche sul MSDE 2000 (Desktop Edition) , piattaforma utilizzata dagli sviluppatori software e presente all’interno di numerosi packages. Il worm usa il protocollo UDP sulla porta 1434, quindi un primo consiglio fu quello di bloccare solo il traffico UDP in/out relativo a questa porta, non tutto il traffico: questa porta è usata da MS SQL 2000; (questo è quello che hanno fatto gli ISP di mezzo mondo da sabato mattina allo scopo, in parte riuscito, di limitare la diffusione del worm) Il 16 ottobre 2002, la Microsoft emise il Security Bulletin MS02-061 che conteneva le spiegazioni del caso e la prima patch da installare; ad essa seguiva dopo pochi giorni [30 ottobre 2002] una non-security hotfix (317748) che risolveva alcuni problemi procedurali introdotti dalla patch. Infine, allo scopo di agevolare il più possibile gli utenti, il 28 gennaio 2003 Microsoft ha riemesso la patch originale e l’hotfix come package integrato.
  • 3. laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 3 [6] In pratica per ripulire un sistema infettato dal worm SQL Slammer, la procedura da seguire è la seguente: disconnettere il computer dalla rete; fare lo shutdown e spegnere il sistema; eseguire un reboot (a freddo); applicare le patches; riconnettere il sistema alla rete e monitoralo !! Ora, credo di non essere annoverato tra i fans di Microsoft, ma obbiettivamente mi sembra che questa ultima abbia fatto tutto quello che era necessario, desiderabile e possibile per correggere un bug, non appena questo era stato messo in evidenza. Mi chiedo quindi di nuovo: con tutto l’anticipo temporale avuto, le advisory, la patch del fornitore disponibile, le spiegazioni del caso … … perché un worm come SQL Slammer, ha potuto essere così efficace ? Credo che la risposta sia: mancanza di un processo continuo di Patch Management. In realtà il problema è più ampio. Da dove viene il concetto di Patch Management ? Tanto per cambiare, inizierei dalla ISO/IEC 17799 [3], Code of Practice per il conseguimento di un Information Security Management System o ISMS. ISMS è l’acronimo di quattro parole inglesi, che ormai sappiamo pronunciare correttamente e di cui conosciamo anche il significato ; il problema è che una di queste parole, guarda caso quella più importante, da quasi tutte le organizzazioni è pressoché disattesa e sottovalutata; naturalmente la parola è: management.
  • 4. laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 4 [6] Tolta questa parola, quello che rimane è Information Security System, un qualcosa che ormai quasi tutte le organizzazioni con un minimo di preoccupazione sul loro futuro, hanno attivato e che risulta, oltre che grammaticalmente corretto, purtroppo anche apparentemente valido. Questo approccio difetta quindi della parola management, e di ciò che questo significa: valutazione dei rischi a cui è esposta l’organizzazione, necessaria per l’identificazione delle minacce e delle vulnerabilità esistenti e base per la stima dell’impatto potenziale sull’Azienda; valutazione degli obblighi legali e contrattuali e dei regolamenti aziendali; sviluppo e supporto dei principi, degli obiettivi e dei requisiti aziendali; implementazione, verifica, evoluzione delle contromisure identificate; Il Security Management è composto da una serie di aree o compiti, tra le quali troviamo il Vulnerability Management; quest’area deve essere considerata uno dei principali obiettivi da gestire da parte di una Azienda, in quanto le vulnerabilità esistono indipendentemente dalle eventuali patches che possono eliminale o almeno ridurle. A sua volta il Vulnerability Management è strutturato in una serie di attività, tra le quali troviamo il Patch Management, che è poi l’attività generalmente non effettuata e per questo al 90% responsabile [4] degli accadimenti descritti all’inizio di questo articolo. A voler essere pignoli, la ISO/IEC 17799:2000 vede la gestione delle patches orientata solo al sistema operativo: […] 10.5.2 Technical review of operating system changes Periodically it is necessary to change the operating system, e.g. to install a newly supplied software release or patches. When changes occur, the application systems should be reviewed and tested to ensure that there is no adverse impact on operation or security. […] ma è chiaro che noi dobbiamo intenderla estesa a tutto quello che è possibile, cioè network applications, user applications, operating systems e qualsiasi altro software che possa richiedere l’analisi delle sue funzionalità a fronte della scoperta di una nuova vulnerabilità o periodicamente necessitare dell’applicazione di una patch di sicurezza.
  • 5. laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 5 [6] Cerchiamo quindi di effettuare un temporaneo upgrade allo standard, considerando queste norme pratiche: Definire nelle Security Policy le procedure e le responsabilità relative al Patch Management Gestire un inventario completo delle apparecchiature ICT Concordare internamente o in outsourcing un servizio di vulnerability alert Valutare l’applicabilità degli alert al proprio patrimonio ICT Definire le modalità ed i gradi di intervento sulle vulnerabilità scoperte Valutare l’applicabilità delle patches una volta che queste sono rese disponibili (controllare side effect negativi) Ridurre la finestra di esposizione con l’istallazione tempestiva delle patches Controllare che le misure fin qui adottate abbiano ridotto o messo sotto controllo le vulnerabilità Riepilogando quindi, mi sento in dovere di assolvere un produttore di software, se questo è stato pronto a risolvere una debolezza/bug/vulnerabilità nel proprio prodotto, proponendo una correzione/patches nei tempi adeguati. Alla fin fine, scagli il primo gigabyte, colui che non ha mai scritto software errato! Il problema vero risiede nella window of vulnerability [5], cioè nel periodo temporale compreso tra la disponibilità al pubblico della patch e la data in cui questa patch viene installata sui sistemi target: tipicamente si parla di mesi ! Il fatto poi che il patch management sia una delle attività di sicurezza che coprono solo una parte dell’aspetto tattico del Security Management e che non abbia quindi nulla a che vedere con le attività relative all’aspetto stategico di questo, credo sarà argomento di un prossimo articolo.
  • 6. laboratorio di idee sulla sicurezza ICT Newsletter di Secure Edge - your safety .net SecLab 6 [6] Note bibliografiche: [1] Microsoft Security Bulletin (originally posted July 24, 2002): http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp [2] Incidents.org preliminary analysis of worm (includes a packet trace): http://isc.incidents.org/analysis.html?id=180 [3] International Standard ISO/IEC 17799:2000 First edition 2000-12-01; Information technology — Code of practice for information security management: http://www.iso.ch [4] J.G.Perez, “Gardner: Most IT Security Problems Self-Inflicted”, Computerworld, 9 Oct. 2001: http://www.computerworld.com/securitytopics/security/story/0,10801,64605,00.html [5] B. Schneier, “Closing the Window of Exposure”, Counterpane Internet Security 2002: http://www.counterpane.com/window.html Altre informazioni relative al worm: Original Vulnerability Analysis by David Litchfield: http://www.nextgenss.com/advisories/mssql-udp.txt CERT Advisory: http://www.cert.org/advisories/CA-2002-22.html http://www.cert.org/advisories/CA-2003-04.html Microsoft Advisory: http://www.microsoft.com/security/slammer.asp