Download - Smau Bologna 2012 Gentili-Fratepietro hacker
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
con analisi di casi reali
Corporate Security:giro di vite contro gli hacker
sabato 30 giugno 12
2
Emanuele Gentili
http://www.tigersecurity.ithttp://www.backtrack-linux.orghttp://www.exploit-db.com
Amministratore unico di Tiger Security S.r.l.
Offensive Security Certified Professional Trainer
Security and Cyber Intelligence Advisor
European Project Leader in BackTrack Linux - Penetration Test OS
http://www.emanuelegentili.euhttp://www.twitter.com/emgenthttp://it.linkedin.com/in/emanuelegentili
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
3
‣ Mostrare lo stato dell’arte in cui versano le aziende nel campo della sicurezza IT.
‣ Dimostrare l’importanza di investimenti nel campo della security per la protezione della propria immagine, dei propri dati, dei propri clienti e della propria business continuity.
‣ Introdurre l’importanza della formazione del personale per ottenere la sicurezza della infrastruttura aziendale.
Obiettivi
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
4Il Panorama Attuale
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
5
Il panorama attuale
Ethical Hackers Black Hat HackerHacktivisti
Collaborazione
Aziende, Banche e PrivatiGoverno BGoverno A
Attacchi inform
aticiProfilazione e contrasto
Atta
cchi
info
rmat
ici
Collaborazione
Profilazione e contrasto
Attacchi informatici
?
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
6
Le macro categorie di utenti
Militari, Forze dell’ordine, GoverniPersonale aziendale
StudentiProfessionisti e Manager
Criminali
Famiglie ed utenti base
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
7
Gli utenti della rete internet
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
8
Introduzione alla sicurezza informatica
Con il termine sicurezza informatica si intende quel ramo dell'informatica che si occupa dell'analisi delle vulnerabilità, del rischio, delle minacce e della successiva protezione dell'integrità software di un sistema informatico e dei dati in esso contenuti o scambiati. -- Wikipedia
Analisi
Ricerca
Prenvezione
Contrasto
Investigazione
Controllo
Terminology Cloud
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
9
Informatica Sicurezza Classica
La sicurezza informatica classica trova il proprio fondamento nella difesa perimetrale delle infrastrutture e dei dati confidenziali attraverso una progettazione architetturale appositamente ingegnerizzata per essere, almeno secondo la vecchia obsoleta convinzione, definita “sicura”.
Questo tipo di approccio è caratterizzato principalmente dall’utilizzo di software anti intrusione ed infezione e da meccanismi di difesa auto e semi automatici.
Questo tipo di sicurezza è generalmente definita anche:
Sicurezza DifensivaAcquisto i miei bei strumenti di protezione commerciali e progetto la mia rete,
con l’ arroganza di ritenermi sicuro ed inviolabile
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
10
La Sicurezza Informatica Proattiva
La sicurezza informatica proattiva trova il proprio fondamento nella convinzione che ci sia la reale necessità di provare a penetrare la propria infrastruttura per verificarne la stabilità e la non penetrabilità, prima che lo faccia qualcun’ altro magari con cattive intenzioni.
Dan Farmer nel 1993 introduce “finalmente” il concetto di
Sicurezza Offensiva progetto la mia rete in modo “sicuro”, metto tutte le protezioni opportune ma poi:
VERIFICO (o faccio verificare) SE E’ PENETRABILE.
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
11
Il Termine “Hacker”
Un hacker è una persona che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d'interesse (che di solito comprendono l'informatica o l’elettronica), ma in tutti gli aspetti della sua vita.
-- Wikipedia
White Hat Hacker Black Hat HackerGrey Hat Hacker
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
12
Il Termine “Hacker”
Un White Hat (letteralmente "cappello bianco"), chiamato anche hacker etico, è un hacker che si oppone all'abuso dei sistemi informatici. La sua attività è di verifica coordinata e complessiva della sicurezza di una rete e dei sistemi che la compongono, al fine di delineare il livello effettivo di rischio cui sono esposti i dati, e proporre eventuali azioni correttive per migliorare il grado di sicurezza.
-- Wikipedia
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
13
Le macro categorie di utenti
Un Grey Hat è un hacker esperto le cui attività rientrano a volte in azioni legali ed a volte in azioni illegali. Generalmente non opera per tornaconto economico personale diretto ma per ottenere ciò che desidera e’ pronto a svolgere qualsiasi tipo di azione.
-- Wikipedia
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
14
Il Termine “Hacker”Un Black Hat (altrimenti chiamato cracker) è un hacker malintenzionato o con intenti criminali. Questo termine è spesso utilizzato nel campo della sicurezza informatica e dai programmatori per indicare una persona dalle grandi capacità informatiche, ma con fini illeciti. Questo termine deriva dal sostantivo di significato opposto white hat hacker. Solitamente un black hat è una persona che mantiene segretamente una conoscenza su vulnerabilità ed exploit che trova a proprio vantaggio, non rivelandola al pubblico o al proprietario per correzioni.
-- Wikipedia
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
15
Le figure professionali che si occupanodi Sicurezza Informatica
Analisti Programmatori
Penetration Tester
Investigatori DigitaliRicercatori
Architetti della Sicurezza
Security Auditor
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
16
La Responsible Disclosure
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
17
La Responsible Disclosure
https://www.facebook.com/whitehat
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
18
La Responsible Disclosure
http://support.apple.com/kb/ht1318
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
ì
19
La Full Disclosure
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
20
Dark For Business
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
21
Come si comporta un’azienda “violata”
60%30%
10%
Non se ne accorge Formatta/Ripristina Esegue una analisi
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
22
Le aziende oggi
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
CENSORED
sabato 30 giugno 12
23
Le aziende oggi
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
24Casi reali
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
25
Il caso “Equitalia”
Attacco di tipo DDOS - 10 ore di downtime
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
26
Il caso “Trenitalia”
Attacco di tipo DDOS - 1 ora di downtime
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
27
Web Vulnerability
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
28
Il caso “Ministero della Difesa”
Intrusione e dump dei dati
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
29
Il caso “Vitrociset”
Intrusione e Defacement
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
30
Il caso “Vitrociset - Reowned”
Intrusione e Defacement
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
31
Il caso “Fox”
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
CENSORED
sabato 30 giugno 12
32
Il caso “Stratfor”
Intrusione, defacement, dump e cancellazione dei dati
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
33
Il caso “politici” - Fuck Politicians February
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
34
Metodi di contrasto
Tipo di attacco Attività preventiva Attività di contrasto
DDos
Strumenti di blacklistinge gestione eventi a grande carico (caching, bilanciamento)
ISP (Lavatrici)
SQL Injection, LFI,RFI, XSS
Attività di Penetration Test periodiche e pre produzione
Web Applicazion Firewall
Ingegneria SocialeFormazione del
personale-
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
35Demo attività di intrusione
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
36
Conclusioni
‣ Internet non è un posto tranquillo per nessuno specialmente se si è una azienda, un’istituzione o un personaggio pubblico.
‣ La maggior parte delle incursioni presentate in questo workshop potevano essere EVITATE semplicemente applicando meccanismi di prevenzione e formazione.
‣ Installare una camera IP nella propria azienda per fare video sorveglianza è cosa buona, ma basta non esporla al mondo.
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12
37Grazie per l’attenzione
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12