Posta elettronica: come difendere la propria eID

1. Posta elettronica:
come difendere la propria eID
Smau 2014, Milano
23 ottobre 2014
Walter Russo
Technical director, Horus Informatica – Padiglione 1 Stand D33
walter.russo@horus.it
1

2. Definizione di identità elettronica
 L’eID è l’insieme di attributi relativi ad una entità
(persona fisica, persona giuridica, ecc.).
 Questi attributi possono essere informazioni
personali (Nome, Cognome, data di nascita),
informazioni relative al nostro profilo (indirizzo di
email, consenso privacy, abilitazioni a servizi,
ecc.).
 Tra gli attributi, ve ne sono alcuni speciali
denominati credenziali: sono utilizzati per poter
accedere in modo sicuro ai servizi.
2

3. Definizione di ID-Theft (furto d’identità)
 Si ha un furto d’identità ogni qualvolta
un’informazione individuale, relativa ad una
persona fisica o giuridica è ottenuta in modo
fraudolento da un criminale con l’intento di
assumerne l’identità per compiere atti illeciti.
3

4. Tipologie di frode
 Identity cloning
 Financial Identity Theft:
 Criminal Identity Theft
 Synthetic Identity Theft
 Medical Identity Theft
 Gosthing
 Cyber bullismo
4

5. Metodologie di frode
 Skimming
 Siti internet
 Phishing
 Vishing o voice phishing
 Spamming
 Keylogging
 Spoofing
5

6. Metodologie di frode
 Pharming
• Sniffing
• Download
 Trashing o bin raiding
• Dumpster diving
• Indirizzo di posta
 Furto
• Contatti indesiderati
6

7. I danni causati dal furto di identità
 I sistemi di rilevazione di CRIF nel 2013 hanno rilevato più di 26.000 frodi
creditizie, per perdite economiche stimate complessivamente in 162 milioni
di Euro. Con un +8,3% rispetto all’anno precedente si conferma, quindi, un
trend in preoccupante crescita.
Tipologia di finanziamento oggetto di frode
7

8. Profilo delle vittime
Fonte: CRIF
8

9. Tempi di scoperta della frode?
Fonte: CRIF
9

10. Perché si cade nelle frodi?
 La scarsa conoscenza dei rischi da
parte dei cittadini, con la conseguente
ridotta tendenza a tutelarsi
adeguatamente, permette ai criminali di
accedere a informazioni personali e
riservate altrui attraverso documenti
cartacei o in formato digitale.
 A questo si aggiungono le oggettive
difficoltà da parte degli istituti di credito
e, soprattutto, degli esercizi
commerciali nel verificare la reale
veridicità dei dati presentati al
momento della richiesta di un
finanziamento.
10

11. Per quali ragioni non si prendono precauzioni?
11
Fonte: Camera di commercio di Torino - Osservatorio Provinciale sulla Contraffazione

12. La prima linea di difesa del proprio eID
 La conoscenza dei rischi e le tecniche usate per rubare la propria identità
 Non fornire informazioni più di quanto non sia strettamente necessario ed
eventualmente scartare i servizi che ne chiedono troppe.
 Usare più email: una principale da comunicare a poche persone e altre
per gestire i vari servizi online
 Usare password differenti per differenti servizi e non scriverle su un foglio
di Word o Post-IT
 Firmare digitalmente le comunicazioni con il protocollo standard s/mime in
modo tale da identificare se stessi ed eventualmente applicare la cifratura
se necessario
 Utilizzare metodi di pagamento sicuri come per esempio PayPal che
rimborsa l’utente in caso di frode.
 Utilizzare un valido antivirus, firewall e antispam
 Utilizzare un sistema di cifratura dei dati
 Non salvare le password nel browser
 Chiedere – in caso di dubbio – sempre ad un esperto
12

13. Un esempio pratico: l’attributo PASSWORD
 Scegliete un nome legato alla vostra vita.
Per esempio scegliamo “alassio”
 Trasformate alcune lettere in numeri. “ala551o”
 Aggiungete in testa o in coda un numero facile da ricordare, come
l’anno di nascita di un figlio o della fidanzata. “ala551o06”
 Aggiungete un carattere speciale in testa o in coda.“ala551o06_”
 Dopo il carattere speciale, aggiungete una o più lettere(magari
MAIUSCOLE) legate al servizio da proteggere con password.
“ala551o06_E” sarà la password delle email, “ala551o06_C” sarà quella
del computer e così via.
13

14. Tipologie di attacco
14

15. Tecniche di difesa (DDos)
15
452 Connection blocked
by rate limit
Alert
admin
2 Conns in 10 min
123

16. Tecniche di difesa (DDos)
16
Alert
admin
Any User: 2 msgs in 10 min
123
452 Connection blocked by
account message rate limit
user1
a. Stop hacker using stolen account and password to send a lot of emails.
b. Detect abnormal sending behavior earlier.

17. Tecniche di difesa (Account Cracking)
17
Alert
User
User1 Login
Password Error
User1 Login
2 Login Failed in 10 min
123
Stop hacker guessing password via SMTP auth.
Block any IP using this account during smtp auth.
1.1.1.1
2.2.2.2

18. Tecniche di difesa (APT)
18

19. Tecniche di difesa contro attacchi web (WAF)
19
 Firewalls/IPS cannot protect a web application from unknown threats
Traditional
Firewall
Web &
Application
Server
Database
Server
Organization's IT network
Unauthorized
access blocked
WAF protection
WAF protection
 Protects web-apps and web servers
from hackers
 Positive protection model and No
Signature Tables
 Intuitive website flow detector
Automatically adapts to website
changes
 Protects against OWASP top 10
web-app vulnerabilities
 SSL Offloading
 Monitoring & Reporting

20. GRAZIE!
Walter Russo
Technical director, Horus Informatica – Padiglione 1 Stand D33
walter.russo@horus.it
20