smau 2010 milano: seminario clusit per intel sulla security

Un mondo di opportunitá

Agenda14:00 14:40 Alessio Pennasilico – CLUSIT : Tecnologie e Scenario14:40 15:20 Cris<ano Voschion – McAfee : Solu<on Overview15:20 15:30 Coffee Break15:30 16:10 Marco Colombo – VMware : VSphere16:10 16:50 Massimiliano Grassi – Citrix : Citrix16:50 17:30 Luca Rezanigo – Microsfot Office 2010

Intel Channel Conference 2010

Friday, 22 October, 2010

La tecnologia intorno a me, la sicurezza dentro di me

Alessio L.R. [email protected]

FaceBook: alessio.pennasilico - Linkedin: mayhem - twitter: mayhemspp


mailto:[email protected]


La tecnologia intorno a me, la sicurezza dentro di me A.L.R. Pennasilico - SMAU 2010 - Milano

Alessio L.R. Pennasilico

Board of Directors: Associazione Informatici Professionisti

Associazione Italiana Professionisti Sicurezza InformaticaCLUSIT

Italian Linux Society, LUGVR, Metro Olografix, Sikurezza.org

Hackerʼs Profiling Project, CrISTAL

3

Security Evangelist @



Agenda

✓ Considerazioni sparse

✓ Cosa vedo intorno a me?

✓ Cosa mi preoccupa?

✓ Come dormire sonni tranquilli?

4


La tecnologia intorno a me, la sicurezza dentro di me - A.L.R. Pennasilico - SMAU 2010 - Milano

Wireless



Perchè usarlo?

Sapreste fare senza?

Ed il vostro vicino?

6



Wardriving

è un'attività che consiste nell'intercettare reti Wi-Fi, in automobile, in bicicletta o a piedi con un laptop,

solitamente abbinato ad un ricevitore GPS per individuare l'esatta posizione della rete trovata ed

eventualmente pubblicarne le coordinate geografiche su un sito web.

Per una miglior ricezione vengono usate antenne omnidirezionali.

7


http://it.wikipedia.org/wiki/Wi-Fi

http://it.wikipedia.org/wiki/Wi-Fi

http://it.wikipedia.org/wiki/Portatile

http://it.wikipedia.org/wiki/Portatile

http://it.wikipedia.org/wiki/GPS

http://it.wikipedia.org/wiki/GPS

http://it.wikipedia.org/wiki/Coordinate_geografiche

http://it.wikipedia.org/wiki/Coordinate_geografiche

http://it.wikipedia.org/wiki/Sito_web

http://it.wikipedia.org/wiki/Sito_web


Device

8



Antenne

9



Mezzi alternativi

10



Molto alternativi...

11



Personalizzazioni

12



WarChalkingQuando una rete Wi-Fi viene intercettata, il warchalker disegna un simbolo speciale su qualunque oggetto vicino all'intercettazione come un muro o sulla pavimentazione della strada. I simboli possono essere differenti, in relazione al tipo di rete (aperta o chiusa) o al tipo di crittografia (WEP, WPA).

13


http://it.wikipedia.org/wiki/Crittografia

http://it.wikipedia.org/wiki/Crittografia


Cracca al Tesoro

Caccia al Tesoro “Geek”

www.wardriving.it

14



Strumenti



Kismet

16



Kismac

17



NetStumbler

18



MiniStumbler

19



Coordinate GPS

20



Craccare le chiavi

21



Misure Inutili

Nascondere il nome della rete non serve

Filtrare i mac-address non serve

WEP da un falso senso di sicurezza

22



Proteggersi

WPA2 a casa è una soluzione adatta

In azienda è possibile fare IPSec su WiFi oppure WPA2/Enterprise

23



VoIP



Perchè utilizzarlo?

Semplice

Sicuro

Affidabile

Economico

Sicuro?

25



Senso di invulnerabilità

I telefoni funzionano sempre

La rete telefonica è un mondo isolato

Gli standard utilizzati sono proprietari

26



Minacce

Frodi classiche

Attacchi IP Based

SPIT

Vishing

27



I Client

E’ possibile utilizzare telefoni software

Come garantisco la sicurezza dei client?

28



Accendo il telefono

I telefoni IP, per funzionare, possono eseguire diverse azioni preliminari, vulnerabili a diversi attacchi:

✓ottengono l'indirizzo IP da un server DHCP✓ottengono dal DHCP l'indirizzo di un TFTP server✓scaricano il firmware dal TFTP server✓scaricano la configurazione dal TFTP server✓si autenticano sul server VoIP

29



Case History



Frodi

“Edwin Andreas Pena, a 23 year old Miami resident , was arrested by the Federal government: he was involved in a scheme to sell discounted Internet phone service by breaking into other Internet phone providers and routing connections through their networks.”

The New York Times, June 7th 2006

31



Robert Moore

“I'd say 85% of them were misconfigured routers. They had the default passwords on them: you would not believe the number of routers that had 'admin' or 'Cisco0' as passwords on them”.

"It's so easy a caveman can do it!"

32



Testare l’infrastruttura



Ettercap #1http://ettercap.sourceforge.net/

La suite per gli attacchi Man in the Middle. Multipiattaforma, da usare in console o in un windows manager, Ettercap permette di lanciare tutti quegli attacchi a Layer 2 che permettono di capire quanto la nostra rete switchata sia vulnerabile se non adeguatamente protetta.

Keywords: " arp spoofing, arp poisoning, hijacking,

sniffing, decoding, dns spoofing, dos, flood."

34


http://ettercap.sourceforge.net/

http://ettercap.sourceforge.net/


Ettercap #2

35



Wireshark #1

http://www.wireshark.org/

Sniffer multipiattaforma, corredato di molti decoder, che lo mettono in grado di interpretare il traffico intercettato.Wireshark può interpretare tanto i flussi di signaling, quanto quelli RTP, ed estrarne tutte le informazioni necessarie per una successiva analisi.

36





Wireshark #2

37



Orekahttp://oreka.sourceforge.net/

Distribuito per Windows e Linux, supporta i protocolli di Cisco CallMananager, Lucent APX8000, Avaya, S8500, Siemens HiPath, VocalData, Sylantro, Asterisk SIP channel.Intercetta e registra le conversazioni basate su flussi RTP. Semplice, intuitivo, via web e con supporto per MySQL.

38


http://oreka.sourceforge.net/

http://oreka.sourceforge.net/


SipSak #1

http://sipsak.org/

Si tratta del coltellino svizzero del VoIPAdmin. Permette di interagire con qualsiasi device SIP inviando traffico creato ad hoc per interagire con il server e verificare il suo comportamento in situazioni create da noi.

39


http://sipsak.org/

http://sipsak.org/


Ohrwurmhttp://mazzoo.de/blog/2006/08/25#ohrwurm

Il “verme delle orecchie” è un RTP fuzzer. Il suo scopo è testare l'implementazione del protocollo SIP del device verificato, inviando una enorme quantità di richieste con diverse combinazioni di parametri, più o meno sensati, allo scopo di individuare eventuali comportamenti anomali.Le anomalie riscontrate spesso si rivelano essere bug di implementazione.

40


http://mazzoo.de/blog/2006/08/25%2523ohrwurm

http://mazzoo.de/blog/2006/08/25%2523ohrwurm


Smap

http://www.wormulon.net/index.php?/archives/1125-smap-released.html

Unendo nmap e SipSak otteniamo uno strumento in grado di rilevare i device SIP, dedurre di che marca e modello di device si tratta dal fingerprint e creare una mappa della rete analizzata. E' inoltre possibile interagire direttamente con il device, fingendosi un apparato SIP, per ottenere maggiori informazioni.

41





SiVus

http://www.vopsecurity.org/html/tools.html

Si tratta di un SIP security scanner: verifica le caratteristiche del target dello scan rispetto ad un database di vulnerabilità conosciute.

42





Altri strumentiPacket Gen & Packet Scan

Shoot

Sipness

Sipshare

Sip scenario

Siptest harness

Sipv6analyzer

Winsip Call Generator

Sipsim

Mediapro

Netdude

SipBomber

RTP Flooder

Invite flooder

RTP injector

Sipscan

reg. hijacker eraser/adder

Fuzzy Packet

Iax Flooder

Cain & Abel

SipKill

SFTF

VoIPong

SipP

43



Virtualizzazione



Perchè adottarla?

Diminuzione dei costi di gestione

Risparmio energetico

ROI Veloce

Cambia qualcosa per l’IT security manager?

45



Rischi

Scarso controllo sugli accessi

Problemi a definire i ruoli / ACL

Furto / Cloning di macchine virtuali

Intrusioni / Compromissione dell’host

46



Il traffico di gestione

Accesso alla console di gestione

Traffico FCoE - iSCSI

Manipolare la migrazione di active state

Replica di VM o degli storage

47



Cloud

Dove si trovano i miei dati?

Come si spostano da un datacenter ad un altro?

48



Contromisure

Patching

Isolare e proteggere il traffico

Isolare e proteggere gli host

49



BotNet



Perchè botnet?

Infetto il maggior numero possibile di host

Li uso per fare spam, phishing, spit, vishing, DDoS

Li affitto a chi vuole gestire da se le stesse attività

51



Perchè fare tutto questo?

52



BotNet e 0day

53

Window of Exposure

Vulnerability

Exploit

Patch

Applied Patch

Critical Zone



Contromisure

Policy interne corrette (USB?)

Firewall/IDS/IPS

Antivirus/Antimalware

Patching

54



Conclusioni



Cost Of Data Breaches Increased

Ponemon Institute research says malicious attacks are the most costly breaches

"Each year, I expect the breach cost figures to decrease, but the numbers are still rising," Ponemon says. The 2009 study showed a slight increase in the organizational cost of a data breach -- from

$6.65 million to $6.75 million per incident -- and a slight increase in the average cost per compromised record, from $202 to $204.”

56



Symantec EMEA Report 09

L’Italia è spesso presente ai primi posti delle classifiche attaccati/attaccanti. Il problema ci riguarda.

57



Conclusioni

La tecnologia per gestire i dati in modo sicuro esiste

Va tuttavia configurata e gestita nel modo corretto

58


Grazie dell’attenzione!

Alessio L.R. [email protected]

FaceBook: alessio.pennasilico - Linkedin: mayhem - twitter: mayhemspp

These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. “Please” cite your source and use the same licence :)

Domande?




smau 2010 milano: seminario clusit per intel sulla security

Technology

sicurezza dentro

tecnologia intorno

pennasilico smau

pennasilico linkedin

milano alessio

milano antenne

milano senso

milano craccare