Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
festival ICT 2013: Tra imbarazzi e perdite economiche: un anno di violazioni informatiche
1. Festival della tecnologia ICT - 2013
TRA IMBARAZZI E PERDITE ECONOMICHE:
UN ANNO DIVIOLAZIONI INFORMATICHE
lunedì 23 settembre 13
2. WHOAMI
CISO diTesla Consulting s.r.l.s.
Certificato OSSTMM Professional SecurityTester (OPST)
Certificato Offensive Security Certified Professional (OSCP)
Presidente Associazione DEFT - Project Leader
2
lunedì 23 settembre 13
3. PANORAMICA
• Anno 2013, si continuano a fare gli stessi errori del 2006
• Mai così tanti problemi di sicurezza informatica come negli ultimi
2 anni
• Aumentano i servizi offerti al pubblico, aumenta il rischio di
esposizione a problematiche sulla sicurezza informatica
• L’ Italia è messa come gli altri: pochi si preoccupano di fornire un
servizio sicuro
3
lunedì 23 settembre 13
6. PERCHÈ AUMENTANO GLI
ATTACCHI?
• Sono sempre più diffusi i tool con automatismi per i principali attacchi alle web
application
• E’ sempre più diffusa documentazione liberamente fruibile che spiega come scovare e
sfruttare le vulnerabilità informatiche
• Exploitdb
• Security Focus
• CVE
• Sono sempre di più gli script kiddie
• Sempre più diffusi corsi di formazione orientati alla sicurezza offensiva
6
lunedì 23 settembre 13
8. RANSOMWARE
• Malware che blocca la produttività di un sistema
• Cifratura dati
• Replica nella rete aziendale
• Malware che blocca l’accesso al sistema operativo
8
lunedì 23 settembre 13
11. BNL MULTIMEDIA COMPROMESSO
• 24 settembre 2012
• http://anonhacknews.blogspot.it/2012/09/italian-national-
bank-hacked-antisec.html
• Phpmyadmin esposto
• Servizio ad oggi ancora down ma pubblicizzato nella pagina
principale del sito BNL
11
lunedì 23 settembre 13
14. ATTACCHI DDOS SULLE
BANCHE ITALIANE
• Attività iniziata fine settembre 2012, tutt’oggi è ancora in corso
• Botnet composta da quasi 50.000 host sparsi in tutto il mondo
• Syn inviati su porte di servizi ed IP non in uso
14
lunedì 23 settembre 13
18. POLITICI
• Non soloVittorio Sgarbi... 16 marzo e 25 luglio
• Fuck Politicians February - #OpFPF
• Nel 99% dei casi, siti vulnerabili ad attacchi di tipo SQL Injection
18
lunedì 23 settembre 13
22. QUALCUNO HA RI-SFRUTTATO LA
STESSA FALLA....
22
http://www.repubblica.it/tecnologia/2013/05/22/news/strano_caso_phate_lucas-59378869/
lunedì 23 settembre 13
23. CHE FORSE È ANCORA
SFRUTTABILE....
23
lunedì 23 settembre 13
30. GLI HACKER DEL PD
• 24 aprile 2013 pubblicazione delle caselle di posta di Giulia Sarti
• 2 maggio 2013 pubblicazione delle caselle di posta di
Massimiliano Bernini, StefanoVignaroli eTancrediTurco
• Caselle di posta tipo “hotmail”
• Domanda di recupero password con risposta semplice?
30
lunedì 23 settembre 13
37. CONCLUSIONI
• Privato, pmi o grande impresa, qualsiasi servizio acquistate
dovete pretendere che sia sicuro
• Evitare di riciclare codice sviluppato da altri di cui non
comprendiamo a pieno la sintassi
• Eseguire attività periodiche di controllo
• Servizio di internal audit o penetration test
37
lunedì 23 settembre 13
38. Festival della tecnologia ICT - 2013
TRA IMBARAZZI E PERDITE ECONOMICHE:
UN ANNO DIVIOLAZIONI INFORMATICHE
DOMANDE?
lunedì 23 settembre 13