Embed Size (px)
Citation preview
BUONE PRATICHE PER LA SICUREZZA IN RETE
DISCLAIMER
• TUTTO QUELLO DI CUI VI PARLERÒ VA APPLICATO ALL’IMPORTANZA CHE DATE AI VOSTRI DATI, QUALI E CHE LIVELLO DI SICUREZZA (PARANOIA?) VOLETE MANTENERE
• LA TANA DEL BIANCONIGLIO È TALMENTE PROFONDA CHE TOCCHERÒ DI STRISCIO GLI ARGOMENTI.
• SE INTERESSA QUALCOSA IN PARTICOLARE APPROFONDIAMO NEL Q&A CON UN BUON PIRLO
SCOPO DEL TALK
• BASI SULLA SICUREZZA IN RETE• COSA SI PUÒ FARE PER PROTEGGERE I PROPRI DATI• UN’IDEA DI COSA C’È LA FUORI
DI COSA DI PARLARE?
• BUONE PRATICHE• TWO FACTOR AUTHENTICATION (OTP)• CRIPTAZIONE• CLOUD• SOCIAL ENGINEERING• SICUREZZA NEI LUOGHI PUBBLICI• NAVIGAZIONE ANONIMA
SFATIAMO IL PRIMO MITO
NON ESISTE NULLA DI SICURO
“”
I THINK INFORMATION SECURITY IS A LOT LIKE MEDICINE — IT’S BOTH AN ART AND SCIENCE. MAYBE THIS IS BECAUSE HUMANS HAVE EXPLICITLY BUILT TECHNOLOGY AND THE INTERNET
PARISA “SECURITY PRINCESS” TABRIZ – HEAD ENGINEER OF GOOGLE’S CHROME SECURITY TEAM
LA BASI…
• PASSWORD A TUTTI I VOSTRI DISPOSITIVI• NON LASCIATE MAI IL VOSTRO DISPOSITIVO
INCUSTODITO SENZA BLOCCARE LO SCHERMO• UN BUON ANTIVIRUS NON FA MAI MALE
UNA BUONA PASSWORD PREVIENE MOLTI ATTACCHI
HTTP://XKCD.COM/936/
LE 10 PEGGIORI PASSWORD DEL 2015
1. 1234562. PASSWORD3. 123456784. QWERTY5. 12345
6. 1234567897. FOOTBALL8. 12349. 123456710.BASEBALL
Fonte: https://www.teamsid.com/worst-passwords-2015/
POTETE USARE UN PASSWORD MANAGER…
• LASTPASS• DASHLANE• KEEPASS• 1PASSWORD• ROBOFORM
…MA RICORDATE CHE….
• SERVE UNA MASTER PASSWORD• SE LA PERDETE…PERDETE TUTTO• ANCHE QUESTI SONO SOFTWARE E PERTANTO SOGGETTI A FALLE DI
SICUREZZA• PER CITARNE UNA RECENTE:
HTTP://HACKADAY.COM/2016/08/01/LASTPASS-HAPPILY-FORFEITS-PASSWORDS-TO-SIMPLE-JAVASCRIPT/
TUTTI I SOFTWARE HANNO VULNERABILITÀ
TENETE AGGIORNATI I SISTEMI E PROGRAMMIMAGARI ASPETTATE UN PAIO DI GIORNI ;)
http://www.cvedetails.com/top-50-products.php?year=2015
ASSICURATEVI DI ESSERE IN HTTPS
• LA S STA PER «SECURE»• PROTEGGE LA PRIVACY DEGLI UTENTI• EVITA LO SNIFFING (MAN IN THE MIDDLE)• CONTROLLATE L’ICONA IN ALTO A SINISTRA
TWO FACTOR AUTHENTICATION
• È UN OTP (ONE TIME PASSWORD)• ATTIVATELO OVUNQUE POTETE• MAGARI NON METTETE LA SPUNTA A «NON CHIEDERMELO PIÙ» • GOOGLE AUTHENTICATOR
HTTPS://PLAY.GOOGLE.COM/STORE/APPS/DETAILS?ID=COM.GOOGLE.ANDROID.APPS.AUTHENTICATOR2
• AZURE AUTHENTICATOR (IOS, ANDROID E WINDOWS PHONE) A BREVE
SE VI RUBANO IL PORTATILE O UN HD/USB ESTERNO?
• BIT LOCKER (WINDOWS)• TRUECRYPT / VERACRYTP (MULTIPIATTAFORMA E CREA ANCHE
CONTAINER)• FILEVAULT (OSX)• ANDROID HA L’OPZIONE DA ATTIVARE, MA PARE SIA FACILE RAGGIRARLO• IOS CRIPTA TUTTI I DATI PERSONALI IN AUTOMATICO
COME ACCEDO?
SI INSTALLA UN BOOT LOADER E DA QUI LE SCELTE:• MODULO TPM
HTTPS://IT.WIKIPEDIA.ORG/WIKI/TRUSTED_PLATFORM_MODULE
• PASSWORD• CHIAVE USB O SMARTCARD• PARTIZIONI NASCOSTE (PLAUSIBLE DENIABILITY )
SONO SICURI?
• NON DEL TUTTO• SOGGETTI AD ATTACCHI «EVIL MAID» (LINUX E OSX)
HTTPS://WWW.SCHNEIER.COM/BLOG/ARCHIVES/2009/10/EVIL_MAID_ATTAC.HTML
• BITLOCKER NO, MA SI VOCIFERA ABBIA DELLE BACKDOOR PERCHÉ COLLABORA CON LA NSA (E CODICE NON OPEN, PERTANTO NIENTE AUDIT COME A TC)
E IL CLOUD?• SI FA LO SBAGLIO DI PENSARLI COME HARD DISK
ESTERNI• HANNO TANTI DATI E ATTIRANO L’ATTENZIONE• SICUREZZA DI CASA VOSTRA VS SICUREZZA
GESTITA DA ALTRI• CASO REMOTO, MA È SUCCESSO CHE ABBIANO
CANCELLATO I DATI• THE FAPPENING…ANYONE?• TRESORIT È UN’ALTERNATIVA CRIPTATA• BOXCRIPTOR CRIPTA PRIMA DI SINCRONIZZARE
SOCIAL ENGINEERING
• MANIPOLAZIONE PSICOLOGICA DELLE PERSONE• OTTENGO INFORMAZIONI CONFIDENZIALI (PRETEXTING, PHISHING,
SPEARPHISHING)• GLI FACCIO FARE QUALCOSA (BAITING)
“”
IT IS MUCH EASIER TO TRICK SOMEONE INTO GIVING A PASSWORD FOR A SYSTEM THAN TO SPEND THE EFFORT TO CRACK INTO THE SYSTEM.
KEVIN MITNICK
ESEMPIO PIÙ BANALE DI QUANTO IMMAGINATE?
• NEL 2003, IN UN SONDAGGIO SULLA SICUREZZA, IL 90% DEGLI IMPIEGATI AVEVA FORNITO AI RICERCATORI QUELLA CHE DICHIARARONO ESSERE LA LORO PASSWORD IN RISPOSTA AD UNA DELLE DOMANDE DEL QUESTIONARIO…IN CAMBIO DI UNA PENNA IN REGALO.
SICUREZZA NEI LUOGHI PUBBLICI
• BLOCCATE LE CONDIVISIONI• ATTIVATE IL FIREWALL• HTTPS #CHEVELODICOAFARE• VPN• ELIMINATE I WI-FI A CUI NON VI ATTACCATE PIÙ• NIENTE TRANSAZIONI ECONOMICHE
TOR
• PERMETTE LA NAVIGAZIONE ANONIMA (MEGLIO DI IE, FF, CHROME O SAFARI)
• ABBIAMO ACCESSO ALLA DARK NET (CHE NON È IL DEEP WEB)• ANDIAMO SU THEHIDDENWIKI (HTTP://ZQKTLWI4FECVO6RI.ONION)
QUINDI È SICURO NAVIGARE CON TOR?
• 3% DEI NODI SONO «ROGUE»HTTPS://NAKEDSECURITY.SOPHOS.COM/2016/07/26/HONEY-ONIONS-PROBE-THE-TOR-DARK-WEBT-AT-LEAST-3-OF-DARK-WEB-NODES-ARE-ROGUES/
COSA È RIMASTO FUORI?
• IOT• TYPO SQUATTING• E-WHORING• …
E GIUSTO PER NON FARCI MANCARE NULLA
• SE AVETE TUTTO NEL TELEFONO, BASTA HACKARVI QUELLO ;)HTTP://WWW.PCMAG.COM/NEWS/345207/HACKERS-NO-LONGER-NEED-YOUR-PASSWORD
SFATIAMO IL PRIMO MITO
NON ESISTE NULLA DI SICURO
QUINDI?
• DIPENDE DALLA VOSTRA INTELLIGENZA E CONOSCENZA
• «BECAUSE THERE IS NO PATCH TO HUMAN STUPIDITY»
DOMANDE?
MAGARI DAVANTI AD UNA BIRRA?
GRAZIE
