Security Summit Rome 2011

1.
Metodologiaper la simulazionedegliattacchie per l’ analisidelleminacciecontrole applicazioni webMarco MoranaOWASPSecurity Summit Roma 9 Giugno 2011

2.
What is OWASP?2

3.
3Agenda Della PresentazionePARTEI: I nuoviscenari di attaccoaisiti web: dati e statistichePARTE II: La metodologiaper la simulazionedegliattacchi e delleminacciePARTE III: Esempiodell’usodellemethodologia per l’analisidelleminaccie, attachi e calcolodeirischicausati da banking-malware

4.
4PARTE I: Inuoviscenari di attacco: dati e statistiche

5.
Il cambiamentodello scenariodelleminacciealleapplicazioni5Lo scenario delleminaccie e’ cambiatodrammaticamenterispetto a dieciannifa, alcuniesempi:

6.
Gliattori di attaccosonomotivatidal denaro(e.g. furto di dati di carta di cerdito per vendita, frodifinanziarie)

7.
Gliattoridi attaccofanno partedel crimineorganizzato(e.g. spiedeisegreti/proprieta’ intelletuale e gruppiterroristici)

8.
I target sonole aziende e in particolareilsettorefinanzaSOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape

9.
Datisulleminaccie del malwaree hacking6Contribuisconoallamaggioranzadelleperditadeidati (2010)

10.
Cosituiscono le minaccieprincipalipertipologia di attaccoSource: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/

11.
I targets delleminacciemalware e hacking7I siti e le applicazioni web costituiscono la percentualepiualtapresa di miradagliattacchidi malware e hacking

12.
I tipi didatipiu’ a rischiosonodatisensibili (e.g. carte di credito)Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/

13.
8GliAttoriDelleMinaccieDietroGliAttacchi di Hackinge MalwareIl presunto hacker si e’ appenasvegliato e sorseggiandoilcaffe(o tea o magari vodka) inizia la suagiornata di lavorocon unabellalista di indirizzi IP di computer compromessie di logins per autenticarsiaisiti. Lo step successivoconsistenelspenderealcune ore a distibuire malware nei PC compromessi e rivederela listadei PC dellasettimanascorsa per aggiornarsisui daticollezionati.Dopo di che’ e ‘ ora di andare a casa ad accudiremoglie e figli. CyberCrime& Doing Time A Blog about Cyber Crime and related Justice issues: http://garwarner.blogspot.com

14.
Sherlock Holmes vs.DrJerkill/Mr Hyde9

15.
L’ approccio alrischio “conosco ma non faccionulla”

16.
L’ approccio alrischio “PauraIncertezza e Dubbio” Paura di esserefuorinorma=> multe e restrizioni e controlli (e.g. SEC, PCI etc)Paura di perdere la reputazione=> nelcaso di perdita di datisensibili, forzato a notificareilpubblico (SB 1386)Paura di cause penali =>nelcaso la vittimadellafrode e’ il business-clienteinvecechel’utenteIncertosulle cause e le conseguenze=> Siamonoiil target? Se lo siamoquantodenaropotremmoperdere? Dubbisullaefficaciadellecontromisure=> Non ci fidiamodellenostremezzi, processi e persone

17.
L’ approccio alrischio “come antagonista a chi ilrischio lo deve mitigate”“Noi vs. Loro” (Dept. Sicurezza vs. Dev/IT/BusinessUnits):MitigazionefaccendoricorsoallapillolamagicaNon c’edimostrazione di come gliattachiavvengono e impattano i businessNon c’e’ nessunincentivo a collaborarefra chi ilrischio lo identifica e chi lo devemitigare con le contromisure

18.
L’ approccio alrischio ”Persone, Processi e Technologie” Personalepreparato e qualificato per rispondereagliincidentiProcessiadequati per l’identificazionedeglierrori di design e le vulnerabilita’ chevengonosfruttatidaglihackers Technologie e contromisureper la mitigazionedelleminaccie del malware e hackers13

19.
14PARTE II-Introduzione almetodo di Threat Modeling PASTA™ (Process for Attack Simulation and Threat Analysis)

20.
La Methodologia PerL’AnalisiDelleMinaccie[Application] Threat ModelingUn processostrategicochepunta a considerare le minaccie, ipossibiliscenari di attacco e le vulnerabilitachepossonoesseresfruttatenell’ambienteapplicativo con lo scopodigestirerischi e livelli di impatto.Si basasudiversimetodologie per la determinazionedelleminaccie e correlazione con le vulnerabilita’

21.
Si focalizzasudiversiaspetti perla mitigazionedelleminaccie:

22.
Architettura & Software(design)

23.
Gliassetti a rischio(dati, server, applicazioni)

24.
Prospettiva di attaccoo di difesaMetodologia Threat Modeling di OWASPMethodolgiasimplificata:Focalizzatasulleminaccie al softwareNon include l’analisiedilcalcolodeirischiL’analisidelleminaccie e’ fatta a diversilivelliOWASP Threat Risk Modeling http://www.owasp.org/index.php/Threat_Risk_Modeling

25.
Metodologia Threat ModelingSTRIDE di Microsoft17SpoofingRepudiationTamperingRepudiationInfo DisclosureDenial OF service

26.
LimitazioniDelleMetodologie Di ThreatModeling UsateOggiDiverse metodologiema nessuna e’ adottata a largascalaSTRIDE & DREAD non sonometodologie ma modelli per la classificazionedelleminaccie e deirischiLimitatenelloscopo(e.g. assetto, attacco, software, security centriche) non tuttigliapprocciconsideranol’analisideglierrori di design Limitatenell’adozionenella SDLC sopratuttorispetto ad altreattivita (e.g. review codicesicuro, pen testing)Non sono parte deiprocessi di InfoSec (e.g. information security risk management, fraud, incident response)Processisoggettivied ad-hoc sibasanosull’esperienza di chi fal’analisi SMEs (Subject Matter Experts)/Security Architects/Consultants

27.
La ricetta perla P.A.S.T.A™ Threat ModelingSi focalizzasugli asset di business come target degliattacchi

28.
Include tutti iprocessi per la (e.g. intelligence)mitigazionestrategicadeirischi

29.
Si basasullaanalisidegliscenari diattacco

30.
Si focalizzanelleminimizzazionedeirischidelleapplicazionie degliimpattiper il business201. Define ObjectivesIdentify Business Objectives

31.
Identify Security &Compliance Requirements

32.
Business Impact AnalysisThe P.A.S.T.A™ Threat Modeling Methodology2. Define Technical ScopeCapture the boundaries of the technical environment

33.
Capture Infrastructure |Application | Software Dependencies3. Application Decomposition Identify Use Cases | Defin App Entry Points & Trust levels

34.
Identify Actors| Assets| Services | Roles| Data Sources

35.
Data Flow Diagramming(DFDs) | Trust Boundaries4. Threat AnalysisProbabilistic Attack Scenarios Analysis

36.
Regression Analysis onSecurity Events

37.
Threat Intelligence Correlation& Analytics5. Vulnerability & Weaknesses AnalysisQueries of Existing Vulnerability Reports & Issues Tracking

38.
Threat to ExistingVulnerability Mapping Using Threat Trees

39.
Design FlawAnalysis Using Use & Abuse Cases

40.
Scorings (CVSS/CWSS) | Enumerations (CWE/CVE)6. Attack ModelingAttack Surface Analysis

41.
Attack Tree Development| Attack Library Mgt

42.
Attack toVulnerability & Exploit Analysis using Attack Trees7. Risk & Impact AnalysisQualify & quantify business impact

43.
Countermeasure Identification& Residual Risk Analysis

44.
ID risk mitigationstrategies Gliutentidellametodologia P.A.S.T.A™21Business managers che in questomodopossonoincorporare i requisiti di sicurezza per mitigare i rischi

45.
Architettidelle applicationschecosipossonoidentificareglierrori deldesign e identificare le contromisure per rimediarli e per proteggere i dati e gli assets

46.
Sviluppatorichecosipossonocapire se ilsoftwaree’ vulnerabileedespostoagliattacchi

47.
Security testerschepossonousare icasi di use e abuso e le librerie di attacco per testarel’applicazione

48.
Project managers checosipossonogestirela remediazionedeidiffetti in modopiu’ efficace

49.
CISO checosipossonoprenderedecisionisu comemitigate i rischi a livelloapplicativo22PART III-Usodellamethodologia PASTA™ per l’analisidelleminaccie, attacchi e deirischi del banking-malware

50.
Gli steps dellaanalisidel banking malware usando la metodologia P.A.S.T.A.23Documentazionedeirequisitiper l’analisideirischidelleminacciebanking malware, attachi e vulnerabilita’ Definizionedelloscopotecnicodell’ analisiAnalisidellasicurezza del sitodal punto di vista deicontrolli di sicurezza a livelloarchitetturale e di funzioneStudio e analisidelleminacciedaidati di intelligenceAnalisidellevulnerabilita’ chepossonoesseresfruttatedalleminaccie per causare un impattoModellidegliscenari di attaccoFormulazionedellastrategia per la mitigazione del rischio e per la riduzione dell’ impatto a livello di business

51.
STAGE I DefinizioneDegliObbiettividi Sicurezza e Del Business: “Catturadeirequisiti per l’ analisi e la gestionedeirischi di banking malware” 24

52.
AnalisiPreliminareDegliImpattiImpatti per l’azienda/businessPerditadi denaro a causa di frodi(e.g. transferimentoillegale di denaro) e perdita di datisensibili del clienteNon responabilita’ legaleper frodicontroclienti-business e’ causa di azionilegali da parte deglistessiPerdita di reputazione/immaginea causadellanotificazione al pubblicodellaperditadeidatisensibilideiclienti, questo ha anche un impattosullafedelta’ deiclientiNon in regola con la legge e la regolamentazione di sicurezza(e.g. PCI-DSS, FFIEC/OCC, GLBA, SB 1386, FACT Act, PATRIOT Act) e’ causa di multe e controllicostosi complianceImpatti per I clientiFurto di login per l’accesso a siti di on-line bankingFurtodeidatisensibiliPerdita di denarodal contonelcaso di contiaziendali/privati

53.
Obbiettivi Dell’ Analisie Requisiti Di Sicurezza e di Regolamentazione

54.
STAGE II DefinizionedelloScope TecnicoDell’Analisi ”Definizionedelloscopo di threat modeling relativoairequisitidell’analisi”27

55.
Profilo Della ApplicazioneIn Scopo Dell’ Analisi: Sito Online Banking

56.
DefinizioneDelloScopoTecnicoDell’AnalisiInformazioneestrattadaidocumenti di progetto:Componentidellaapplicazioneweb in funzionedeilivellifunzionali(presentazione, logica, dati)Topologiadella rete (firewall, servers, routers etc)Protocolli e processichesono parte dell’ architettura “end to end” (diagrammi del flow deidati)Scenari e funzionid’uso(diagrammi di sequenza) Modellodellaapplicazione in supportodell’analisi:Gli assets dell’ applicazione(e.g. dati/servizi a diverse sezionidellaarchitetturaapplicativa)I controlli di sicurezzadell’applicazione(autenticazione, autorizzazione, crittografia, gestionedella session, validazionedell’input, archivio e logs)Le interazionifral’utente e l’applicazione per le varietransazioni web (e.g. login, registrazione, query deidati etc)

57.
30ScopodellaArchitettura: On-line BankingApplication Architecture Diagram

58.
Transazioni di On-LineBanking in Scopo Per L’Analisi31Identifica le transazioni on-line chesonopossibili targets per malware e hacking (e.g. transazioni ad alto rischio):

59.
Funzioni di login(e.g. registrazione, reset userId/pwd)

60.
Funzioni per lagestione del profilo(e.g. cambio del profilo/account email, indirizzo, telefonoetc)

61.
Funzioni di autenticazionecon fattore multi-factor

62.
Transazioniriguardandivalidazione del customercon datisensibili(e.g. validazione di CCN#, CVV, ACC# and PINs for registrazione e per apertura di conto)

63.
Accesso a daticonfidenzialie sensibili(e.g. ACC#, CCN#, SSN, DOB)

64.
Transazionibancarie as altorischio:

65.
Transfermienti di denaroa contiesterni

66.
ACH

67.
Bonifici,

68.
PagamentiSTAGE III Analisidell’ applicazione:”Identificazionedeicontrolli di protezionedeidati/assets e efficacia del controllistessinellamitiazione del rischio di attacchi da banking malware”32

69.
Analisi del dataflow di processodellaapplicazione di Online Banking33

70.
Analisi Dell EfficaciaDei Controlli di Sicurezza a LivellodelleTransazioni Online34

71.
STAGE IV IdentificazioneDelleFontiDi Intelligence Per L’AnalisidelleMinaccie: “Identificazioneedelaborazione di informazionisulleminacciedallefonti di intelligence al fine di poteranalizzaregliscenari e vetori di attaccousati dal banking malware“35

72.
IdentificazioneDelleFonti Di IntelligenceEsempiodi cosasipuoapprenderedallefonti di intelligence:Un nuovobanking trojane’ distribuito via sitivulnerabili a iniezione di data in frames oppourevia spear phishing direttamenteaiclienti di banca(targeted)Il malware iniettacodice HTML nelbrowser duranteunasessioneautenticata di on-line banking aifini di rubaredatisensibilidall’utenteIl malware comunica con il server botnet Commando e Controllo C&CIl C&C serve codice al trojan e permetteall’hacker di condurretransazioniimpersonandol’utenteIl malware mantiene li contobancario “in balance” per non esserenotatodaisistemi anti-frodeFontiesternedi informazionisuattacchi di banking malwareFonti interne, per esempio da frodi e attacchi/incidenti (SIRT)Fonti di informazionepublica e a pagamento:APWGCERTDigital PhisNetFS-ISACIC3Internet Fraud Alerts (ifraudalert.org)Trusteer

73.
UK Payments Administration

74.
Verizon

75.
VerisigniDefense

76.
Zeus TrackerDatiStatistici SuiBanking Trojan TargetsSource Domini target del Zeus trojan

77.
Trends di BankingMalware

78.
Scenario di AttaccoDel Banking Malware 39

79.
Esempi Di IncidentiDi Banking Malware RiportatiDagliUtenti40

80.
Esempi Di VettoriDi AttaccoEstrattiDall’Intelligence41

81.
Profilo Di MinacciaDel Banking Malware42E’ configurabile per diversi target di bancheUtilizzadiversi tipi di attacco per infettareil PC utente/browserAccetta e mandacomandi al command control serverEvade le difese di client e applicazionecome Anti-Virus, SS/TLS, MFA C/Q efraud detection systemsIniettacodice HTML nel browserdellavittima al fine di catturareconti, logins, data i sensitibiliin sessioneautenticataRuba is certificati diautenticazioneRuba input allatastierausandokey-loggers e form grabbersPermette all hacker di transferiredenaro dal contovittima

82.
STAGE VAnalisidellevulnerabilita’:Analisidellevulnereabilita’ edei gap deicotnrolli di sicurezzachesonosfrutatte per condurregliattacchi43

83.
CorrelazioneDelleMinaccie di BankingMalware con lo sfruttamentodellevulnerabilita’Minacciedi Social Engineering/PhishingSfruttanodebolezze in anti-phishing controls (e.g. EV SSL)Mancanza diinformazione al client circa minaccie di banking malwareMinacciediimposessamentodelle login e datisensibiliMancanza di protezionedeidati (e.g. unsecure cookies, tokens, unsecured secrets and certificates for authentication) Injection di malware via Iframe, SQL injvulns (e.g. per il dropping), Errori di implementazione di autorizzazioneError nellalogica di validazione del customer (e.g. PINs, ACC#)Minaccie verso transazioni ad alto rischio (bonifici)Sfruttanoerroridell’implementazione e progetto di authenticazionedelletransazione (e.g. MFA bypass, weak authentication)Vulnerabilita’ session management dellatransazione (e.g. session fixation, session riding/CSRF) Vulnerabilita in non repudiazione (e.g. one-way SSL)44

84.
Vulnerabilita’ Client- ServersA LivelloArchitettura45Weak Anti-Phishing and Anti-UI- Spoofing Controls& WarningsBrowser Vulnerabilities & FlawsAuthentication, Authorization, Identification andSession Mgmt. Vulnerabilities and Design FlawsFlaws and Vulnerabilities While Protecting Data/Transaction Confidentiality and Integrity

85.
Top Malware PropagationVulnerabilities46

86.
Vulnerabilta’ potenzialmentesfruttate dabanking malwareBlack Box TestingWhite Box Testing

87.
STAGE VIModelloDegliAttacchi:“Modellodegliattacchi dibanking malware”48

88.
Analisi Banking MalwareCon Attack Trees49

89.
Analisi di Attaccoa Login Con Use and Abuse Cases50

90.
AttacchiAlleTransazioni e SfruttamentoDi Vulnerabilita’51

91.
Threat Modeling ConThreatModeler™52

92.
STAGE VIIAnalisideiRischi eDegliImpatti: “Identificazionedellastrategia per la mitigazione del rischio del banking malware”53

93.
Fattori Per L’AnalisiDel Rischio54Le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurrefrodi (transferimento non autorizzato di denaro)

94.
Le vulnerabilita’ (debolezzedell’applicazione)Errorinel design di autenticazione e session management; Vulnerabilita’ in garantireconfidenzialita’ e integrity deidati; mancanza di logs e di tracciabilita’ deglieventi e azionidegli hackers sui sistemi

95.
L’impattotecnico (compromissionedeicontrolli) By-passamentodiauthenticazionemulti-fattore (Challenge/Questions, KBA, OTPs;) By-passamentoiogicadiidentificazione del client prima di autorizzaretransazioni; Compromissionedelle web forms al fine di otteneredatidall’utente. Abuso session di autenticazione.

96.
L’impatto per ilbusiness (perditadenaro) Perdite per Frodi/transferimento di denaro a mules; Perdita di data sensibili; Azionilegali per coperturadanni account; Multe per non essere a norma con standards di sicurezzaFactori Per Il Calcolo Del RischioCalcolo del rischiobasandosisumodellioggettivi:Qualitativo (e.g. Likelihood x Impact (H, M, L), Threat Source (STRIDE) x Severity (DREAD), Threat X Vulnerability X Impact (OWASP))Quantitativo (e.g. ALE = SLE X ARO)Strategia di mitigazioneholistica e multi-layerControlli per prevenzione e detectionContromisure a diversilivelli(e.g. browser web application, infrastructure)Processi di Governance (e.g. risk based testing, improved fraud detection, threat analysis, cyber intelligence)55

97.
Banking Malware: ApplicationRisk Framework

98.
Contromisure per lamitigazione del rischio57ALERTA & MONITORAGGIOSistemi di monitoraggio e alertafrodiAnomaly detection Identificazione di cookies e di variables settate dal malwareLogs delle sessions/transactionsControlli anti-automation, man vs.script/botnetCatturanoil profile del browser e glieventiCAPTCHAAlerts al cliente via SMSNotifica in tempo reale di azionisulcontoPREVENZIONEMisure Anti Contraffazione UI/HTMLWatermarks nelle web forms chesonodifficili da riprodurreInformazioni al clienti al fine di identificarepagine web contraffatedal malwareAuthentificazione/VerificaFuoriCanale On-Line (e.g. SMS)Cellularericeverichiesta di confermadellatransazione on-line. Uso di tokens per firmare la transazione

99.
58Q&Q U ES T I O N SA N S W E R S

Security Summit Rome 2011

More Related Content

Viewers also liked

Similar to Security Summit Rome 2011

More from Marco Morana

Security Summit Rome 2011

Editor's Notes