Corporate Security: giro di vite contro gli hacker con analisi di casi reali

1. Corporate Security:
giro di vite contro gli hacker
con analisi di casi reali
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

2. Emanuele Gentili
Amministratore unico di Tiger Security S.r.l.
Offensive Security Certified Professional Trainer
2
Security and Cyber Intelligence Advisor
European Project Leader in BackTrack Linux - Penetration Test OS
http://www.emanuelegentili.eu http://www.tigersecurity.it
http://www.twitter.com/emgent http://www.backtrack-linux.org
http://it.linkedin.com/in/emanuelegentili http://www.exploit-db.com
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

3. Obiettivi
‣ Mostrare lo stato dell’arte in cui versano le aziende nel campo
della sicurezza IT.
‣ Dimostrare l’importanza di investimenti nel campo della
security per la protezione della propria immagine, dei propri dati, 3
dei propri clienti e della propria business continuity.
‣ Introdurre l’importanza della formazione del personale per
ottenere la sicurezza della infrastruttura aziendale.
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

4. Il Panorama Attuale 4
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

5. Il panorama attuale
? Aziende, Banche e
Privati
Governo A Governo B Collaborazione
Pr
ofila
z ion
ee
co
5
ntr
ast
Pro
o
filaz
ion
Att
ee
i
atic
Attacchi informatici
acc
Collaborazione con
rm
h
i in
info
tra
for
sto
hi
m
acc
atic
Att
i
Ethical Hackers Hacktivisti Black Hat Hacker
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

6. Le macro categorie di utenti
Studenti
Professionisti e Manager Famiglie ed utenti base
6
Personale aziendale Militari, Forze dell’ordine, Governi Criminali
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

7. Gli utenti della rete internet
7
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

8. Introduzione alla sicurezza informatica
Con il termine sicurezza informatica si intende quel ramo dell'informatica che si occupa
dell'analisi delle vulnerabilità, del rischio, delle minacce e della successiva protezione
dell'integrità software di un sistema informatico e dei dati in esso contenuti o scambiati.
-- Wikipedia
8
Terminology Cloud
Analisi Prenvezione Investigazione
Ricerca Contrasto Controllo
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

9. Informatica Sicurezza Classica
La sicurezza informatica classica trova il proprio fondamento nella difesa perimetrale
delle infrastrutture e dei dati confidenziali attraverso una progettazione
architetturale appositamente ingegnerizzata per essere, almeno secondo la vecchia
obsoleta convinzione, definita “sicura”.
Questo tipo di approccio è caratterizzato principalmente dall’utilizzo di software 9
anti intrusione ed infezione e da meccanismi di difesa auto e semi automatici.
Questo tipo di sicurezza è generalmente definita anche:
Sicurezza Difensiva
Acquisto i miei bei strumenti di protezione commerciali e progetto la mia rete,
con l’ arroganza di ritenermi sicuro ed inviolabile
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

10. La Sicurezza Informatica Proattiva
La sicurezza informatica proattiva trova il proprio fondamento nella convinzione che ci
sia la reale necessità di provare a penetrare la propria infrastruttura per verificarne la
stabilità e la non penetrabilità, prima che lo faccia qualcun’ altro magari con cattive
10
intenzioni.
Dan Farmer nel 1993 introduce “finalmente” il concetto di
Sicurezza Offensiva
progetto la mia rete in modo “sicuro”, metto tutte le protezioni opportune ma poi:
VERIFICO (o faccio verificare) SE E’ PENETRABILE.
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

11. Il Termine “Hacker”
Un hacker è una persona che si impegna nell'affrontare sfide intellettuali per aggirare o
superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi
ambiti d'interesse (che di solito comprendono l'informatica o l’elettronica), ma in tutti gli
aspetti della sua vita.
-- Wikipedia
11
White Hat Hacker Grey Hat Hacker Black Hat Hacker
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

12. Il Termine “Hacker”
Un White Hat (letteralmente "cappello bianco"), chiamato anche hacker etico, è un
hacker che si oppone all'abuso dei sistemi informatici. La sua attività è di verifica
coordinata e complessiva della sicurezza di una rete e dei sistemi che la compongono, al
fine di delineare il livello effettivo di rischio cui sono esposti i dati, e proporre eventuali
azioni correttive per migliorare il grado di sicurezza.
-- Wikipedia 12
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

13. Le macro categorie di utenti
Un Grey Hat è un hacker esperto le cui attività rientrano a volte in azioni legali ed a
volte in azioni illegali. Generalmente non opera per tornaconto economico personale
diretto ma per ottenere ciò che desidera e’ pronto a svolgere qualsiasi tipo di azione.
-- Wikipedia
13
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

14. Il Termine “Hacker”
Un Black Hat (altrimenti chiamato cracker) è un hacker malintenzionato o con intenti
criminali. Questo termine è spesso utilizzato nel campo della sicurezza informatica e dai
programmatori per indicare una persona dalle grandi capacità informatiche, ma con fini
illeciti. Questo termine deriva dal sostantivo di significato opposto white hat hacker.
Solitamente un black hat è una persona che mantiene segretamente una conoscenza su
vulnerabilità ed exploit che trova a proprio vantaggio, non rivelandola al pubblico o al
proprietario per correzioni.
-- Wikipedia
14
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

15. Le figure professionali che si occupano
di Sicurezza Informatica
Analisti
Architetti della Sicurezza
Programmatori 15
Penetration Tester
Security Auditor
Investigatori Digitali
Ricercatori
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

16. La Responsible Disclosure
16
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

17. La Responsible Disclosure
17
https://www.facebook.com/whitehat
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

18. La Responsible Disclosure
18
http://support.apple.com/kb/ht1318
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

19. La Full Disclosure
19
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

20. Dark For Business
20
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

21. Come si comporta un’azienda “violata”
Non se ne accorge Formatta/Ripristina Esegue una analisi
10%
21
30%
60%
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

22. Le aziende oggi
CENSORED 22
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

23. Le aziende oggi
23
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

24. Casi reali 24
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

25. Il caso “Equitalia”
25
Attacco di tipo DDOS - 10 ore di downtime
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

26. Il caso “Trenitalia”
26
Attacco di tipo DDOS - 1 ora di downtime
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

27. Web Vulnerability
27
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

28. Il caso “Ministero della Difesa”
28
Intrusione e dump dei dati
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

29. Il caso “Vitrociset”
29
Intrusione e Defacement
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

30. Il caso “Vitrociset - Reowned”
30
Intrusione e Defacement
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

31. Il caso “Fox”
CENSORED 31
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

32. Il caso “Stratfor”
32
Intrusione, defacement, dump e cancellazione dei dati
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

33. Il caso “politici” - Fuck Politicians February
33
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

34. Metodi di contrasto
Tipo di attacco Attività preventiva Attività di contrasto
Strumenti di blacklisting
e gestione eventi a
DDos grande carico (caching, ISP (Lavatrici)
bilanciamento) 34
Attività di Penetration
SQL Injection, LFI, Test periodiche e pre Web Applicazion
RFI, XSS produzione Firewall
Formazione del
Ingegneria Sociale -
personale
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

35. Demo attività di intrusione
35
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

36. Conclusioni
‣ Internet non è un posto tranquillo per nessuno specialmente se
si è una azienda, un’istituzione o un personaggio pubblico.
‣ La maggior parte delle incursioni presentate in questo
workshop potevano essere EVITATE semplicemente applicando 36
meccanismi di prevenzione e formazione.
‣ Installare una camera IP nella propria azienda per fare video
sorveglianza è cosa buona, ma basta non esporla al mondo.
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12

37. Grazie per l’attenzione 37
Corporate Security: giro di vite contro gli hacker - Emanuele Gentili
sabato 30 giugno 12