Upload
andrea-rossetti
View
671
Download
1
Embed Size (px)
DESCRIPTION
Primo incontro del ciclo: Cybercrime, Digital Evidence e Digital Forensics - webminario organizzato da Giuseppe Vaciago per la cattedra di Informatica giuridica della Bicocca.
Citation preview
Alessio L.R. [email protected]
http://www.alba.st/ Verona, Milano, RomaPhone/Fax +39 045 8271202
Cybercrime e Cybersecurity
Alessio L.R. Pennasilico [email protected]
$whois -=mayhem=-
Committed: AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza InformaticaItalian Linux Society, Sikurezza.org, AIP/OPSI
Hacker’s Profiling Project, CrISTAL
2
!
Security Evangelist @
Alessio L.R. Pennasilico [email protected]
Credits
Grazie ai colleghi con i quali lavoro su questi temi:
Elisa BortolaniRaoul Chiesa
Andrea Zapparoli ManzoniDaniele Martini
Enzo Maria Tieghi
3
Alessio L.R. Pennasilico [email protected]
Cosa dobbiamo affrontare?
Ogni anno
durante il Security Summit di Marzo a Milano
Clusit presenta un rapporto
su cosa è accaduto nel’‘anno precedente
cosa ci si aspetta dall’anno in corso
5
Alessio L.R. Pennasilico [email protected]
Cosa emerge?
Tutti sono un bersaglio
Tutte le piattaforme sono un bersaglio
Le protezioni tradizionali sono inefficaci
6
Alessio L.R. Pennasilico [email protected]
Panoramica cybercrime –
Fonte: Paolo Passeri – www.hackmageddon.com
Alessio L.R. Pennasilico [email protected]
Perché preoccuparsi?
Nel 2012 gli attacchi noti
che hanno prodotto un danno ingente a chi li ha subiti in termini economici o di immagine
sono aumentati del 252%
Campione 1652 attacchi internazionali
8
Alessio L.R. Pennasilico [email protected]
Trend di crescita
9
VITTIME PER TIPOLOGIA 2011 2012 Totale Incremento
Ins$tu$ons: Gov -‐ Mil -‐ LEAs -‐ Intelligence 153 374 527 244,44%Others 97 194 291 200,00%Industry: Entertainment / News 76 175 251 230,26%Industry: Online Services / Cloud 15 136 151 906,67%Ins$tu$ons: Research -‐ Educa$on 26 104 130 400,00%Industry: Banking / Finance 17 59 76 347,06%Industry: SoQware / Hardware Vendor 27 59 86 218,52%Industry: Telco 11 19 30 172,73%Gov. Contractors / Consul$ng 18 15 33 -‐16,67%Industry: Security Industry: 17 14 31 -‐17,65%Religion 0 14 14 1400,00%Industry: Health 10 11 21 110,00%Industry: Chemical / Medical 2 9 11 450,00%TOTALE 469 1.183 1.652 252,24
Alessio L.R. Pennasilico [email protected]
Chi attacca? Perché?
Alessio L.R. Pennasilico [email protected]
L’Italia #1
I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012).
Gli utenti di Social Network sono l’85,6% degli utenti online (23 M)
Il 28% della popolazione usa uno smartphone (17 M)
In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena consapevolezza dei rischi informatici e di prendere contromisure.
Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security efficaci (educazione, prevenzione, gestione degli incidenti)
Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi.
11
Alessio L.R. Pennasilico [email protected]
L’Italia #2
Risultato: nel 2012 l’Italia è al nono posto a livello globale per la diffusione di malware e soprattutto al primo posto in Europa per numero di PC
infettati e controllati da cyber criminali (le cosiddette botnet).
Nel 2012 8,9 milioni di italiani sono stati colpiti da una qualche forma di crimine realizzato via Internet (sono diventati i reati più diffusi)
Solo Eurograbber (ZitMo) ha coinvolto in Italia 16 istituti bancari ed 11.893 utenti, causando il furto di oltre 16 milioni di euro in pochi giorni.
12
Alessio L.R. Pennasilico [email protected]
Cosa ci aspettiamo?Cybercrime: in mancanza sia di barriere all’ingresso che di forme efficaci di
contrasto e disincentivazione, altri gruppi si uniranno a quelli già oggi in attività. Aumenteranno fortemente sia i crimini informatici, sia quelli
tradizionali veicolati e/o commessi con l’ausilio di sistemi ICT.
Hacktivism: sempre più distruttivo, aumenteranno attacchi DDoS e data leakage.
Cyber Espionage: attacchi sempre più sofisticati sponsorizzati da governi, corporations e gruppi criminali in un contesto di “tutti contro tutti”.
Cyber Warfare : non ci sarà cyber war aperta, almeno per 1-2 anni, ma tutti si preparano attivamente a combatterla, investendo ingenti risorse. Schermaglie ed incidenti con frequenza crescente (Cyber Cold War).
Crescente rischio di “Black Swans” ed instabilità sistemica diffusa.
13
http
://w
ww
.alb
a.st
/
Da chi ci dobbiamo difendere?
Alessio L.R. Pennasilico [email protected]
Hacker’s Profiling Project
Abbiamo allora voluto analizzare il “problema del cybercrime” utilizzando un approccio
completamente diverso da quelli individuati sino ad oggi.
Il progetto H.P.P. si pone infatti l’obiettivo di analizzare il fenomeno tecnologico, sociale ed
economico dell’hacking nelle sue mille sfaccettature, mediante approcci sia di tipo
tecnico che criminologico
15
Alessio L.R. Pennasilico [email protected]
Hacker
“ I do it for one reason and one reason only. I'm learning about a system. The phone company is a System. A computer is a System, do you understand? If I do what I do, it is only to explore a system. Computers, systems, that's my bag. The phone company is nothing but a computer. ”
Captain CrunchTratto da “Secrets of the Little Blue Box “ Esquire Magazine, Ottobre 1971
16
Alessio L.R. Pennasilico [email protected]
Cosa si evince?
Dal curioso che gioca con gli amici ...
... al criminale al servizio dei criminali ...
... che non conosce deterrente ...
23
Alessio L.R. Pennasilico [email protected]
Autenticazione
select * from users where
username=’$_POST[username]’
AND
password=’$_POST[password]’
Alessio L.R. Pennasilico [email protected]
SQL Injection
Inserisco al posto della password:
‘ OR ‘1’ = ‘1
Alessio L.R. Pennasilico [email protected]
SQL Injection
select * from users where
username=’$_POST[username]’
AND
password=’‘
OR ‘1’ = ‘1’
Alessio L.R. Pennasilico [email protected]
Altri rischi?
Posso interrogare il DB e ottenere tutti i dati contenuti:
' UNION ALL SELECT NULL,username,password,NULL FROM utenti WHERE 'x'='x
28
Alessio L.R. Pennasilico [email protected] 29
Password in cleartext
Alessio L.R. Pennasilico [email protected]
Come mi proteggo?
Evito di processare i caratteri speciali come ‘
Prevedo il processo che si chiama “normalizzare l’input”
30
Alessio L.R. Pennasilico [email protected]
Esempio
$user=mysql_escape_string($_POST['user']);
$password=mysql_escape_string($_POST['password']);
$query="SELECT * FROM Users WHERE username='$user' AND password='$password';
31
Alessio L.R. Pennasilico [email protected]
0 Day
34
Window of Exposure
Vulnerability
Exploit
Patch
Applied Patch
Critical Zone
Alessio L.R. Pennasilico [email protected]
iPhone Worm: Rickrolls
Jailbreak di iPhone:
qualcuno cambia
la password di root?
(Novembre 2009)
36
Alessio L.R. Pennasilico [email protected]
SecurityFocus
2001 - November
So what apparently occured was Fluffi Bunny replaced that banner ad. If you poke around thruport.com, you will see that many images were replaced with the Fluffi banner ad. As a result, various web sites that use the thruport.com service had the alternate banner appear throughout the day.
http://www.sikurezza.org/ml/12_01/msg00006.html
38
Alessio L.R. Pennasilico [email protected]
Frodi
“Edwin Andreas Pena, a 23 year old Miami resident, was arrested by the Federal government: he was involved in a scheme to sell discounted Internet phone service by breaking into other Internet phone providers and routing connections through their networks.”
The New York Times, June 7th 2006
40
Alessio L.R. Pennasilico [email protected]
Robert Moore
“I'd say 85% of them were misconfigured routers. They had the default passwords on them: you would not believe the number of routers that had 'admin' or 'Cisco0' as passwords on them”.
"It's so easy a caveman can do it!"
41
Alessio L.R. Pennasilico [email protected]
L’automazione Industriale
Un tema così attuale e difficile da trattare
Clusit ha prodotto una monografia per approfondire
il tema
42
Alessio L.R. Pennasilico [email protected]
Worms
“In August 2003 Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours.”
NIST, Guide to SCADA
45
Alessio L.R. Pennasilico [email protected]
nmap“While a ping sweep was being performed on an active SCADA network that controlled 9-foot robotic arms, it was noticed that one arm became active and swung around 180 degrees. The controller for the arm was in standby mode before the ping sweep was initiated.”
NIST, Guide to SCADA
46
Alessio L.R. Pennasilico [email protected]
Disgruntled employee
Vitek Boden, in 2000, was arrested, convicted and jailed because he released millions of liters of untreated sewage using his wireless laptop. It
happened in Maroochy Shire, Queensland, may be as a revenge against his last former employer.
http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/
47
Alessio L.R. Pennasilico [email protected]
Il costo dell’hardeningCliente con Altoforno gestito da PC
PC in LAN
Stima dei costi in caso di fermo-fornoStima dei costi per isolare PC ed Altoforno in
una VLAN dedicata, il cui traffico sia filtrato a L3
3M € vs 3K €: progetto bocciato
48
Alessio L.R. Pennasilico [email protected]
Bakeca.it DDoS
http://www.slideshare.net/mayhemspp/bakeca-ddos-hope
49
Alessio L.R. Pennasilico [email protected]
Uno scherzo?
Danni economici
Danni di immagine
Ripercussioni sul credito
Difficile da dimostrare
Strascichi lunghissimi
51
Alessio L.R. Pennasilico [email protected]
Cosa dobbiamo affrontare?
Rischi
reali, concreti
semplici da trasformare in incidenti
alta probabilità di conversione in incident
grande impatto sul business
54
Alessio L.R. Pennasilico [email protected]
Cosa fare?
Rischi
facili da prevenire
difficili da mitigare a posteriori
55
Alessio L.R. Pennasilico [email protected]
Security by Design
Se costruisco una casa
senza progettare
uscite di sicurezza
costruirle a lavori finiti
sarà disastroso
56
Alessio L.R. [email protected]
http://www.alba.st/ Verona, Milano, RomaPhone/Fax +39 045 8271202
These sl ides are written by Alessio L.R. Pennasilico aka mayhem. They are s u b j e c t e d t o Creative Commons A t t r i b u t i o n -S h a r e A l i k e 2 . 5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)Grazie!
Domande?