Introduzione alla Cybersecurity: minacce e vulnerabilità

1. Introduzione alla Cyber
Security: minacce e
vulnerabilità
Luca Bonadimani

2. Ogni organizzazione che utilizzi sistemi ICT è soggetta
ad un grado di rischio, che è valutabile e conoscibile.
Per poter portare alla luce i rischi cyber
dell’organizzazione è importante rilevare e –
successivamente adottare strategie di contenimento – le
vulnerabilità esistenti.
2

3. Lavorare per rafforzare la sicurezza della rete nelle
organizzazioni, richiede di avere una solida conoscenza
dei processi, delle metodologie e degli strumenti
necessari per valutare le vulnerabilità.
Attraverso la scansione delle vulnerabilità,
accenneremo qui agli aspetti essenziali da conoscere per
trovare e affrontare i punti deboli che gli aggressori
potrebbero sfruttare.
3

4. Chi è AIPSI
4
AIPSI, Associazione Italiana
Professionisti Sicurezza
Informatica, capitolo Italiano di
ISSA, Information Systems Security
Association, (www.issa.org) conta
>>10.000 Soci ed è la più grande
associazione non-profit di
professionisti della Sicurezza ICT
nel mondo.
AIPSI è il punto di aggregazione
sul territorio e di trasferimento di
know-how per i professionisti della
sicurezza digitale, sia dipendenti
sia liberi professionisti ed
imprenditori del settore.

5. Obiettivi primari di AIPSI
5
Aiutare i propri Soci nella crescita
professionale e quindi nella
crescita del loro business;
Rapporti con altri soci a livello
nazionale (AIPSI) ed internazionale
(ISSA);
Contribuire alla diffusione della
cultura e alla sensibilizzazione per
la sicurezza digitale;
Collaborazione con numerosi Enti e
Associazioni per eventi ed iniziative
congiunte;

6. Obiettivi primari di AIPSI
6
Offrire ai propri Soci servizi
qualificati per tale crescita, che
includono:
Rapporti annuali e specifici OAD,
Osservatorio Attacchi Digitali in
Italia: https://www.oadweb.it;
Convegni, workshop, webinar
sia a livello nazionale che
internazionale via ISSA;
Supporto, formazione specializzata
alle certificazioni, in particolare
eCF Plus (EN 16234 -1:2016, in
Italia UNI 11506).
Supporto nell’intero ciclo di vita
professionale;

7. 7
Chi sono
Ho iniziato la mia carriera occupandomi di
ICT nel settore editoriale per diversi anni,
per poi gestire per un breve periodo
l’ufficio comunicazione di Gardaland S.p.A.
Nel 1996 ho fondato con un socio Fine
Tuning Consulenza Integrata, web solution
agency di Verona. Seguono altre iniziative
imprenditoriali quali BSZ Communication,
finetuning.it, Xtrategy, nonché l’ambizioso
progetto Talete per la vendita on line di libri
a tiratura limitata.

8. 8
Chi sono
Nel 2000 avviene l’incontro con GEA
Consulenti Associati e la fondazione di Gea
Lab, società di consulenza e-business.
Nello stesso anno ricevo l’incarico di
dirigere come AD Adria Lab, web solution
company partecipata dalla Merloni
Elettrodomestici, Gea Lab e dall’Università
degli Studi di Ancona. Successivamente
dirigo e poi amministro Nesting Srl, società
di innovazione tecnologica con soci il Cefriel
e la Fondazione di Venezia.

9. 9
Chi è Lisa Bock
Dal 2004 Lisa Bock insegna IT,
dall’informatica legale alla sicurezza della
rete.
Lisa è professore associato presso il
dipartimento di informatica presso il
Pennsylvania College of Technology, a
Williamsport, Pennsylvania. I corsi che ha
insegnato negli ultimi 13 anni coprono tutti
gli aspetti della cyber security.

10. Introduzione alla Cyber Security:
minacce e vulnerabilità

11. 11
Agenda dell’intervento
VULNERABILITÀ Strumenti e pratiche
Vulnerabilità - cause
Vulnerabilità - identificazione
CVSS
Analisi vulnerabilità in outsourcing
Nikto e altri strumenti
Mobile Security
Lan Security
Conclusioni

12. Termini importanti per la materia di cui ci stiamo
occupando:
Le organizzazioni cercano di sviluppare e
utilizzare buone pratiche di sicurezza per
proteggere le risorse, che sono elementi
tangibili e immateriali a cui è possibile
assegnare un valore. Le risorse materiali
includono qualsiasi cosa tu possa toccare,
come stampanti o computer. Le risorse
immateriali includono segreti
commerciali, database e registri
aziendali. Il rischio è una possibilità che
accada qualcosa di inaspettato ed è una
combinazione di minacce e vulnerabilità.
Il rischio equivale a minacce in relazione
alle vulnerabilità.
Rischi di minacce e vulnerabilità
12
• A ttività
• R isch io
• Min a c c ia
• V u ln erab ilità

13. La minaccia rappresentata dal Lupo che
vuole abbattere le case soffiando è al
100%. Ma diamo un'occhiata ai tre
scenari. Paglia. La vulnerabilità è del 90%
la casa ha una classificazione del rischio
del 90%. Il secondo porcellino ha
costruito la sua casa con i bastoncini,
vulnerabilità al 40%. Quindi il suo rischio
complessivo è del 40%. Tuttavia, il terzo
porcellino ha costruito la sua casa di
mattoni. Ciò significa che aveva una
vulnerabilità dello 0% Pertanto la sua
classificazione del rischio è dello 0%.
Rischi di minacce e vulnerabilità
13

14. Esistono vulnerabilità o punti deboli in molti luoghi
diversi. Alcuni esempi:
Una delle cause delle vulnerabilità è la
complessità. Le organizzazioni di oggi
sono grandi, complesse e hanno molti
vettori di attacco.
Un vettore di attacco è un modo per un
hacker di accedere a un sistema e può
includere software, reti e l'utente. La
rete è anche una potenziale fonte di
vulnerabilità in quanto vi sono molti
dispositivi e interfacce, porte su server
rivolti verso l'esterno come i server di
posta e web nella DMZ.
Cause comuni di vulnerabilità
14
• S o ftware
• S istemi o p erativi
• R eti
• P erso n e

15. La valutazione delle vulnerabilità implica vari
strumenti, tecniche e metodi utilizzati per
identificare e dare priorità alle vulnerabilità
all'interno di un'organizzazione.
Come possiamo capire, la valutazione delle
vulnerabilità implica vari strumenti, tecniche e
metodi utilizzati per identificare e dare priorità alle
vulnerabilità all'interno di un'organizzazione.
La scansione della rete analizza target
sulla rete per rilevare porte aperte,
determinare software, sistemi operativi
e vulnerabilità note.
Ci sono molti approcci che puoi adottare,
ma è importante capire che la rete è
complicata e può essere pensata in due
aree separate, sistemi di informazione e
tecnologia dell'informazione. I sistemi di
informazione sono il lato software.
La tecnologia informatica si riferisce
generalmente al lato hardware, compresi
tutti i computer e i dispositivi di rete
all'interno.
Valutare le vulnerabilità
15

16. Sistema comune di valutazione delle vulnerabilità
Le vulnerabilità sono classificate in base al livello di
gravità, critico, alto, medio e basso, il che ci aiuta a
stabilire le priorità e pianificare quando effettuiamo
la mitigazione della sicurezza. A questa pagina web
della Pubblicazione speciale NIST 800-30. (pagina 78)
possiamo vedere una scala di valutazione.
Il sistema comune di valutazione delle
vulnerabilità è uno standard di settore
che valuta la gravità delle vulnerabilità ed
è utilizzato negli elenchi delle
vulnerabilità e delle esposizioni comuni
per aiutare a stabilire le priorità delle
vulnerabilità. Il sistema di punteggio si
basa su una serie di metriche che
determinano il punteggio complessivo. Le
metriche includono valori per definire
categorie come impatto, sfruttabilità e
ambiente.
Valutare le vulnerabilità
16

17. La valutazione delle vulnerabilità è molto importante,
poiché fa parte di un piano di sicurezza globale.
Ed è generalmente il primo passo per ridurre il rischio
organizzativo complessivo. In alcuni casi, ci sono
regolamenti che richiedono valutazioni di
vulnerabilità. Anche se non sono richiesti, ci sono
diversi vantaggi. L'uso di una terza parte può aiutare
a fornire ulteriori giustificazioni per l'approvazione o il
rifiuto di spendere soldi per la sicurezza. Una volta
che tutti accettano di esternalizzare, si può pensare
alla formazione di un comitato interno per la Cyber
Security.
Identifica un fornitore affidabile ed
esperto.
Assicurati di coinvolgere i responsabili
aziendali e delle unità IT.
Spiega esattamente ciò che stai cercando
in settori chiave, come considerazioni
legali, accordi sul livello di servizio e costi.
La discrezione e la riservatezza sono
estremamente importanti.
Outsourcing nell’analisi delle
vulnerabilità
17

18. Quando conduci un hacking etico, avrai
bisogno di alcuni strumenti. Kali Linux ti
fornisce quasi tutti gli strumenti di cui
potresti aver bisogno.
L’altro sistema utile agli scopi è Parrot
Linux.
Esempi di strumenti
18
• K ali L in u x V M
• H ackerT arg et.co m ,
Op en V as
• N ikto

19. Esempi di strumenti
19
Esempi di strumenti

20. Nikto è uno scanner di vulnerabilità da riga di
comando. Software gratuito che esegue la scansione
dei server Web alla ricerca di file / CGI pericolosi,
software server obsoleti e altri problemi. Esegue
controlli generici e specifici del tipo di server. Cattura
e stampa anche tutti i cookie ricevuti. Il codice Nikto
stesso è un software gratuito, ma i file di dati che
utilizza per guidare il programma non lo sono.
Nikto
20

21. OWASP Mobile Security Project è un gruppo di
ricerca con un portale web di riferimento
(https://www.owasp.org) destinato a fornire agli
sviluppatori e ai team di sicurezza le risorse
necessarie per creare e mantenere applicazioni
mobile sicure.
L’obiettivo principale del progetto è
quello di classificare i rischi di sicurezza
mobile e fornire controlli di sviluppo per
ridurre il loro impatto o probabilità di
sfruttamento.
OWASP Mobile
Security
21

22. M1 - Utilizzo improprio della piattaforma
M2 - Insecure Data Storage
M3 - Comunicazione insicura
M4 - Autenticazione non sicura
M5 - Crittografia insufficiente
M6 - Autorizzazione non sicura
M7 - Qualità del codice cliente
M8 - Manomissione del codice
M9 - Reverse Engineering
M10 - Funzionalità estranee
22
Maggiori rischi

23. Android è stato rilasciato per la prima volta da
Google nel 2008. È basato sul kernel Linux e
tipicamente funziona su un processore ARM.
Google fornisce una piattaforma open source,
ma i singoli produttori di telefoni incorporano
codice proprietario all'interno delle loro
implementazioni. Android non introduce un
modello di sicurezza completamente nuovo, ma
si basa sul modello di sicurezza di Linux con
miglioramenti appropriati per l'ambiente mobile.
Un dispositivo mobile Android è
costituito da una piattaforma hardware,
in cima alla quale è l'implementazione
Android del kernel Linux, e soprattutto,
l'ambiente runtime Android e le librerie.
Sistema operativo
Android
23

24. Un sistema Android, è basato sul kernel
di Linux, ma è diverso nella maggior
parte degli altri aspetti, per cui
un'applicazione Linux non può girare su
Android e un'applicazione Android non
funzionerà su Linux. Android utilizza la
Dalvik Virtual Machine per eseguire
applicazioni scritte in Java e compilare in
bytecode, fornendo chiamate di sistema
tramite le interfacce di programmazione
delle applicazioni Android.
24
Applicazioni preinstallate e installate dall'utente in
genere in Java, quindi eseguite nell'ambiente di
runtime. E utilizzare il framework dell'applicazione
per accedere alle risorse di sistema a livello
utente. Il kernel Linux è la parte centrale del
sistema operativo che media l'accesso alle
risorse di sistema. È responsabile di consentire a
più applicazioni di condividere in modo efficace
l'hardware controllando l'accesso a CPU,
memoria, I / O disco e rete.
Sistema operativo
Android

25. 25
Modello di sicurezza Android
Linux
Il modello di sicurezza
Android prende una
prospettiva diversa da
Linux assumendo che il
limite di affidabilità sia
una singola applicazione
piuttosto che un singolo
utente.
Sandbox
Ambiente sandbox per le
applicazioni e mezzi
espliciti per consentire
interazioni tra l'hardware
mobile, l'utente e
l'applicazione.
Keystore
I keystore possono
essere utilizzati per
proteggere i dati
richiedendo una
password utente per
l'accesso.
25

26. Ci sono dozzine di strumenti per test di sicurezza
per Android. A partire da sistemi di livello
aziendale molto costosi, che dispongono di un
set completo di test automatizzati come fortifica,
a semplici strumenti gratuiti, per testare un
aspetto della sicurezza. L'elenco degli strumenti
sta cambiando ogni giorno, con molti che
diventano obsoleti con il passare del tempo e
molti nuovi appaiono.
Drozer è piuttosto utile, in quanto non ha
bisogno di percorso e può essere
eseguito come un'app normale
utilizzando il proprio bridge. Ho scaricato
e installato la versione di Windows.
KitKat
Ci sono versioni per una varietà di
piattaforme Android, tra cui KitKat,
Marshmallow e Nougat.
Drozer per analizzare
le applicazioni
26

27. Un'applicazione iOS interagisce solo con le
directory all'interno della propria sandbox.
Durante l'installazione, iOS genera un UUID e
crea un numero di directory del contenitore per
l'applicazione all'interno della directory sandbox.
Il contenitore del pacchetto contiene ciò
che è noto come il pacchetto di
applicazioni e il contenitore di dati
contiene i dati di runtime sia per
l'applicazione che per l'utente.
Applicazioni e
vulnerabilità iOS
27

28. A partire da iOS 8, Apple ha introdotto una
modifica alla struttura del file dell'applicazione e
suddivide i dati di un'applicazione dal pacchetto
di applicazioni. Di conseguenza, sono necessarie
alcune indagini per comprendere appieno la
gestione di file e applicazioni. E questo sarebbe
sia la versione del sistema operativo che
l'applicazione specifica.
Info.plist
E’ un file XML di testo semplice che
contiene informazioni di configurazione
essenziali per un file eseguibile in
bundle. E così fornisce una prima
visione delle caratteristiche
dell'applicazione.
Applicazioni e
vulnerabilità iOS
28

29. Il sistema operativo iOS è progettato per essere
sicuro. E il modo in cui Apple gestisce le
applicazioni fornisce ulteriore sicurezza sulla loro
fornitura. La sicurezza in iOS inizia quando
l'utente accende il dispositivo. L'hardware Boot
ROM contiene il codice di sola lettura per avviare
il sistema e la chiave pubblica di Apple.
iBoot verifica l'integrità del kernel prima
di caricarlo. Ciò fornisce un avvio
completamente sicuro attraverso il
kernel, e il resto del sistema operativo
può quindi essere caricato. Il sistema
operativo offre una serie di funzionalità
che possono essere utilizzate dagli
sviluppatori di applicazioni per
proteggere il loro codice.
Protezione applicazioni iOS
in base alla progettazione
29

30. Quando eseguiamo un jailbreak per aprire il
nostro dispositivo di test, non è consigliabile che
il cellulare ritorni al normale utilizzo quotidiano
dopo questo. Naturalmente, una volta che un
dispositivo è in grado di eseguire applicazioni non
firmate da Apple, può eseguire non solo software
per scopi speciali, come ad esempio in fase di
test, ma anche software di cracking, copie illegali
che vengono distribuite attraverso il mercato
nero.
Il test delle applicazioni iPhone richiede
l'accesso come root ad un iPhone;
questo significa rompere il blocco della
sicurezza Apple, un processo chiamato
Jailbreaking.
Estrazione di proprietà e intestazioni di
classe
Esistono due forme di applicazioni iOS:
app crittografate e app non crittografate.
Protezione applicazioni iOS
in base alla progettazione
30

31. Gli aggiornamenti Over-the-air, o OTA, possono
essere utilizzati per inviare aggiornamenti e patch
per software, firmware e sistema operativo in
modalità wireless. Questa tecnologia garantirà
che i tuoi dispositivi mobili siano sempre
aggiornati e al sicuro da vulnerabilità note.
Configurando ciascun dispositivo in
specifici gruppi di programmazione via
etere, gli amministratori di sistema
possono utilizzare la loro soluzione di
gestione dei dispositivi mobili per
distribuire tutti gli aggiornamenti e le
modifiche di configurazione a grandi
porzioni dell'inventario dei dispositivi
mobili contemporaneamente.
Aggiornamenti
over-the-air
31

32. Molte soluzioni di gestione dei dispositivi mobili
offrono ai dipendenti del servizio assistenza
metodi per accedere da remoto a uno
smartphone o un tablet. Ad esempio, se un
venditore è nel campo che ha problemi ad
accedere a una particolare applicazione sul
proprio dispositivo, allora un dipendente del
service desk potrebbe essere in grado di
accedere in remoto al dispositivo e controllarlo
dalla workstation del tecnico.
Accesso remoto
Analogamente ai desktop e laptop
tradizionali, i dispositivi mobili devono
fare affidamento su reti private virtuali o
VPN per accedere alle risorse di rete
dell'organizzazione quando non sono
collegate direttamente alla rete
organizzativa.
Assistenza
e accesso remoto
32

33. CI SONO DOMANDE?
Luca.bnd@finetuning.it
348 440 1055
33
Grazie