SlideShare uma empresa Scribd logo

Come proteggersi dagli attacchi informatici

Emerasoft, solutions to collaborate
Emerasoft, solutions to collaborate

Gli attacchi alla supply chain open source di nuova generazione sono aumentati del 400% nei primi mesi del 2021. Gli hackers sono sempre più creativi e stanno ricorrendo ad attacchi alla supply-chain di nuova generazione per trasformare i progetti open source in canali di distribuzione di malware. Perché invadere l'ecosistema open source? La ragione è che i componenti compromessi possono essere immediatamente sfruttati una volta scaricati. Adottare un approccio secure by design è al momento l'unica arma di difesa. Ne parliamo in questo webinar, in compagnia di Riccardo Bernasconi e Gabriele Gianoglio

Software
1 de 36
Baixar para ler offline
Come proteggersi dai nuovi metodi di attacco informatico RICCARDO BERNASCONI GABRIELE GIANOGLIO
Gli speakers di oggi
Fino a ieri… • L’occhio degli hackers osservava le vulnerabilità rese pubbliche e le riusava • Andava a caccia di bersagli facili (applicazioni prive di patch indicizzate su motori di ricerca Shodan/IoT) • Equifax 2017 data breach: Portale Web dei reclami dei consumatori con falla Apache Struts2 RCE flaw (CVE-2017-5638) • 2020: FortiNet circa 50,000 VPNs vulnerabili con bug vecchi di 2 anni (CVE-2018-13379), passwords esposte alle banche, VPNs della PA
I 3 punti di attacco alla software supply chain • Issues all’interno delle dipendenze più diffuse • Replica delle issues nei mirrors • Utilizzate dagli sviluppatori nelle loro applicazioni - spesso è sufficiente scaricarle • Influenzano gli strumenti DevOps che utilizzano queste dipendenze • Influenzano le applicazioni che integrano le dipendenze compromesse • Le applicazioni vengono così violate, compromettendo i client UPSTREAM MIDSTREAM / IN YOUR SDLC DOWNSTREAM • Sfruttano i problemi noti • Introducono comportamenti dannosi influenzando il comportamento dei client
Inject code in open-source components 350k packages >100k >133k Maven Central 5.4 million JARs >235k Projects published to… 100 million repositories ● Ogni componente distribuito su diversi repository ● Il quale viene ulteriormente distribuito ai mirror ● Utilizzato dagli sviluppatori nelle loro applicazioni ● Le applicazioni vengono compromesse, raggiungendo i client
Picture here Perché attaccare l’ecosistema open-source? ● "fiducia" implicitamente stabilita nella comunità OSS ● Disponibile a tutti ● Crescita esponenziale nell’adozione, Microsoft acquisisce GitHub per $ 7,5 miliardi. ● E molto più facile distribuire librerie compromesse - trasmettere codice dannoso nel "downstream" (forking, dipendenze, ...) ● La fiducia nei repository open source incoraggia gli attacchi alla supply chain del software
Casi reali di malware open-source e attacchi alla software supply chain
Esempi recenti: Gitpaste-12 • Il malware Gitpaste-12 era in GitHub • Worm + botnet • Contiene 12 vulnerabilità, incluse componenti open-source • Reverse shells, spreads itself, dynamic C2 on Pastebin • La seconda versione ritorna un mese dopo con 30+ attacchi MID-STREAM
Typosquatting & brandjacking malware Rendere gli attacchi alla software supply chain open-source efficaci e facili
twilio-npm malicious npm component • Pacchetto Npm che prende il nome dal popolare provider di comunicazioni cloud, Twilio • Non appena installato ha lanciato la reverse shell • Scoperto da Sonatype, riportato immediatamente, npm takes è stato rimosso • Il pacchetto “twilio” ha ottenuto oltre 40 milioni di downloads. https://blog.sonatype.com/twilio-npm-is-brandjacking-malware-in-disguise UPSTREAM
Discord.dll, discord.app malware • Componenti dannosi npm che hanno compromesso lo sviluppo dell’app Discord • Codice Offuscato furto di token Discord, file del browser, info giocatori • Successore di “fallguys” brandjacking malware che si era impossessato delle API del gioco Fall Guys: Ultimate Knockout" • Prende il nome dal pacchetto “discord.js” che ha avuto oltre 280K downloads settimanali. • L’app induce a installare questo componente dannoso • Scoperto da Sonatype, riportato immediatamente, npm eliminato https://blog.sonatype.com/discord.dll-successor-to-npm-fallguys- UPSTREAM
Dependency confusion Una forma sofisticata di brandjacking UPSTREAM
Jul 2020 Il sistema di rilevamento automatico del malware di Sonatype contrassegna i pacchetti di "ricerca sulla sicurezza" pubblicati da Alex Birsan. Sonatype li aggiunge ai dati che alimentano i prodotti Nexus Intelligence di nuova generazione. Jul 2020 – Feb 2021 Birsan continua a pubblicare i pacchetti di ricerca, ma il sistema di rilevamento automatico del malware di Sonatype continua a segnalarli nel tentativo di proteggere i clienti da qualsiasi comportamento illecito. Feb 9, 2021 Alex Birsan pubblica il suo blog di ricerca intitolato "Dependency Confusion: How I Hacked Into Apple, Microsoft and dozzens of Other Companies" Dettagli rilasciati su 35 aziende che hanno utilizzato uno o più dei pacchetti OSS di "ricerca". Anche Sonatype e Microsoft hanno pubblicato i resoconti lo stesso giorno. Feb 12, 2021 72 hours in 300+ copycats emerge Feb 16, 2021 Il rilevamento dei pacchetti copycat raggiunge il 7000% al di sopra della linea di base della settimana precedente. 8 months 1 Week Dependency confusion timeline 4 Weeks Feb 22, 2021 La notizia è ampiamente diffusa con 10 citazioni delle principali pubblicazioni tecnologiche. 575 pacchetti copycat identificati al 22 Feb Mar 2, 2021 750+ pacchetti copycat sono stati identificati come codice Malicious noto Mar 3, 2021 PyPI, npm inondato con 5,000 copycats Mar 9, 2021 8,000+ Copycats Mar 15, 2021 10,000+ Copycats
Malicious copycats identificati da Sonatype infettano Amazon, Zillow, Lyft, Slack Copycats access .bash_history, /etc/shadow, launch reverse shells https://blog.sonatype.com/malicious-dependency-confusion-copycats-exfiltrate-bash-history-and-etc-shadow-files
Gli sviluppatori presi di mira negli attacchi alla supply-chain di nuova generazione
Sviluppatori Java che usano Maven e Jenkins presi di mira • Sonatype arresta gli attacchi alla software supply chain utilizzata dagli sviluppatori Java • Librerie che prendono il nome da componenti legittimi del compilatore Apache Maven, Jenkins mail-watcher-plugin, e  servlet-api pubblicati da Apache, Eclipse Jetty, Tomcat, etc. • Librerie Java (JARs) pubblicate con un namespace diverso com.github.codingandcoding • Librerie legittime scaricate 23 milioni di volte. • Librerie Malicious rimosse da Sonatype prima dei <900 downloads https://blog.sonatype.com/malware-removed-from-maven-central UPSTREAM / MID-STREAM
Picture here Tools DevOps mal configurati, come Jenkins • Developer tools presi di mira • Moltissime organizzazioni fanno girare le loro CICD in chiaro per convenienza • Istanze Jenkins vulnerabili o mal configurate
Gli attacchi alla supply-chain colpiscono sistemi “open and closed source”
2021: Gli attacchi alla supply-chain di SITA violano i programmi Frequent Flier Numerose compagnie aeree colpite
Violazione di oltre 18,000 utenti tramite aggiornamenti contraffatti • Distribuito a oltre 18,000 clienti incluse agenzie governative mission-critical, e società di cybersecurity • Sono stati distribuiti ceppi multipli di malware prima e durante l’attaccco a Sunburst (Solorigate), Teardrop, Sunspot, …
Lezione di DevOps: violazione alle Nazioni Unite, esposti oltre 100k documenti dello staff • I ricercatori* hanno trovato cartelle .git esposte con le credenziali dei DB e file .git-credentials • Accesso a 100k UNEP staff records • Clonati interi repositories con le Git creds • Potrebbe essere stato un attacco alla software supply chain *I membri del gruppo di hacking etico Sakura Samurai includono il fondatore di Anonymous, Aubrey "Kirtaner" Cottle
Il caso Codecov • Codecov aveva rivelato un attacco della supply chain • Viene sfruttato il Bash Uploader di Codecov per pubblicare dati sensibili attraverso le variabili di Environment
Vietnam govt complex software supply chain attack • Threat actors inject malware in an app offered by a CA: Vietnam Government Certification Authority • Operation SignSight • Legitimate MSI binary included PhantomNet backdoor that communicated over HTTPS with C2 https://www.zdnet.com/article/vietnam-targeted-in-complex-supply-chain-attack/ This Photo licensed under CC BY-NC-ND
Operation SignSight: breaching Vietnam Gov’s CA ESET researchers’ report: https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/
LA SFIDA: gray area nei repos open-source • Ricerca sulla sicurezza, raccolta di esempi o un altro Alex Birsan? • GitHub e altri repository spesso hanno esempi di malware e codice caricato a scopo di ricerca • È attivo un penetration-test? • Distinguere queste attività da quelle dannose This Photo licensed under CC BY-NC
LA SFIDA: difficile valutare l’impatto degli attacchi alla software supply chain open-source • Difficile tenere traccia dei download totali • I download possono essere falsificati • Il codice può essere stato copiato (mirrors, forks, …) • Octopus Scanner: 26 progetti OSS? • Lo stesso vale per il malware OSS individuato da Sonatype
Come prevenire gli attacchi alla software supply chain? • SBOM: devi sapere cosa integra il tuo codice • Applicare gli ultimi aggiornamenti e patch? Non sempre • Verifica l'integrità del codice • Non puoi monitorare manualmente le dipendenze • Una sorta di analisi binaria approfondita automatizzata che individui il codice dannoso nelle prime fasi
Come prevenire gli attacchi alla software supply chain? • Gli strumenti devono essere in grado di scandagliare il codice offuscato • Tecniche sofisticate come la steganografia (codice nascosto all'interno di immagini / audio, metadati) potrebbero richiedere l'intervento manuale • ... il tutto in aggiunta ai controlli perimetrali di base, IDS / IPS, e al monitoraggio costante della rete che individua il traffico dannoso
Automation, proactive action • Automated vulnerability detection - the volume is just too large • Next-gen Nexus Intelligence, proactive malware detection bots based on over 5 dozen signals (“red flags”) • Identified malicious components repeatedly • The human factor: Solid Security Research team analyzes complex malware, vulnerabilities
SUPPLY CHAIN A PIENO SPETTRO Firewall Blocca automaticamente l'accesso al rischio nel tuo SDLC Nexus Lifecycle Identifica continuamente i rischi, applica le policy e rimedia alle vuln in ogni fase del tuo SDLC MUSE Analisi del codice sorgente developer-friendly per individuare problemi di sicurezza e affidabilità Nexus Container Proteggi i container dallo sviluppo al runtime
Servizio dati open source di altissimo livello, continuamente perfezionato da AI, machine learning e 65 ricercatori in tutto il mondo ● 97% proprietary ● 10M Unique vulns ● 1.4M Sonatype IDs ● 12 hour fast tracks 100% powered by Nexus Intelligence. ● 8B files ● 67M components ● 2M projects ● 41 ecosystems
GRAZIE! Q&A
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici

Recomendados

Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Data Driven Innovation
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013Elena Vaciago
 
5 Dati Fondamentali Sulle Minacce Avanzate
5 Dati Fondamentali Sulle Minacce Avanzate5 Dati Fondamentali Sulle Minacce Avanzate
5 Dati Fondamentali Sulle Minacce AvanzateSymantec
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association
 

Recomendados

Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Data Driven Innovation
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013Elena Vaciago
 
5 Dati Fondamentali Sulle Minacce Avanzate
5 Dati Fondamentali Sulle Minacce Avanzate5 Dati Fondamentali Sulle Minacce Avanzate
5 Dati Fondamentali Sulle Minacce AvanzateSymantec
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umanoCSI Piemonte
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for HealthcareSWASCAN
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoCSI Piemonte
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115Elena Vaciago
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachAdriano Bertolino
 
Italian cyber security report 2014
Italian cyber security report 2014Italian cyber security report 2014
Italian cyber security report 2014Roberto Baldoni
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e ConsapevolezzaCSI Piemonte
 
00_IPP_LIGHCYBER OA 09
00_IPP_LIGHCYBER OA 0900_IPP_LIGHCYBER OA 09
00_IPP_LIGHCYBER OA 09Antonio Iannuzzi
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaCSI Piemonte
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Evento Xenesys - Security Conference
Evento Xenesys - Security ConferenceEvento Xenesys - Security Conference
Evento Xenesys - Security ConferenceXenesys
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Massimo Chirivì
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 

Mais conteúdo relacionado

Mais procurados

Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for HealthcareSWASCAN
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoCSI Piemonte
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115Elena Vaciago
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachAdriano Bertolino
 
Italian cyber security report 2014
Italian cyber security report 2014Italian cyber security report 2014
Italian cyber security report 2014Roberto Baldoni
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e ConsapevolezzaCSI Piemonte
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaCSI Piemonte
 

Mais procurados (18)

Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for Healthcare
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data Breach
 
Italian cyber security report 2014
Italian cyber security report 2014Italian cyber security report 2014
Italian cyber security report 2014
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
00_IPP_LIGHCYBER OA 09
00_IPP_LIGHCYBER OA 0900_IPP_LIGHCYBER OA 09
00_IPP_LIGHCYBER OA 09
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
 

Semelhante a Come proteggersi dagli attacchi informatici

Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Evento Xenesys - Security Conference
Evento Xenesys - Security ConferenceEvento Xenesys - Security Conference
Evento Xenesys - Security ConferenceXenesys
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Massimo Chirivì
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"DanieleMaijnelli
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxManlioSantonastaso
 
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015VMUG IT
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
 
Guida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di FortinetGuida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di FortinetMaticmind
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
2009 - Quotidiana Legalità
2009 - Quotidiana Legalità2009 - Quotidiana Legalità
2009 - Quotidiana LegalitàFabio Mora
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 

Semelhante a Come proteggersi dagli attacchi informatici (20)

Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
 
Evento Xenesys - Security Conference
Evento Xenesys - Security ConferenceEvento Xenesys - Security Conference
Evento Xenesys - Security Conference
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Antivirus & Antivirus Evasion
Antivirus & Antivirus EvasionAntivirus & Antivirus Evasion
Antivirus & Antivirus Evasion
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
 
Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015Presentazione WebRroot @ VMUGIT UserCon 2015
Presentazione WebRroot @ VMUGIT UserCon 2015
 
Sicurezza - Il Malware
Sicurezza - Il MalwareSicurezza - Il Malware
Sicurezza - Il Malware
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
 
Guida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di FortinetGuida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di Fortinet
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
 
2009 - Quotidiana Legalità
2009 - Quotidiana Legalità2009 - Quotidiana Legalità
2009 - Quotidiana Legalità
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration Test
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
 

Mais de Emerasoft, solutions to collaborate

Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementPercezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementEmerasoft, solutions to collaborate
 
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelliwebinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelliEmerasoft, solutions to collaborate
 
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps PlatformIl DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps PlatformEmerasoft, solutions to collaborate
 
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022Emerasoft, solutions to collaborate
 
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Emerasoft, solutions to collaborate
 
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...Emerasoft, solutions to collaborate
 
La Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream ManagementLa Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream ManagementEmerasoft, solutions to collaborate
 
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Emerasoft, solutions to collaborate
 
INAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development PackINAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development PackEmerasoft, solutions to collaborate
 
Polarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in aziendaPolarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in aziendaEmerasoft, solutions to collaborate
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsEmerasoft, solutions to collaborate
 
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...Emerasoft, solutions to collaborate
 

Mais de Emerasoft, solutions to collaborate (20)

PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAPPAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
PAnontiDEMO_5 motivi per cui una PA ha bisogno di una DAP
 
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk managementPercezione Vs Realtà: uno sguardo data-driven sull'OS risk management
Percezione Vs Realtà: uno sguardo data-driven sull'OS risk management
 
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelliwebinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
webinar LieberLieber & Emerasoft. Verso il DevOps, con i modelli
 
ComeToCode 2022 - speech di Emerasoft
ComeToCode 2022 - speech di EmerasoftComeToCode 2022 - speech di Emerasoft
ComeToCode 2022 - speech di Emerasoft
 
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps PlatformIl DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
Il DevOps è troppo impegnativo? Keep calm e adotta una DevOps Platform
 
Onboarding digitale sulle piattaforme della PA - 13.04.pdf
Onboarding digitale sulle piattaforme della PA - 13.04.pdfOnboarding digitale sulle piattaforme della PA - 13.04.pdf
Onboarding digitale sulle piattaforme della PA - 13.04.pdf
 
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
Gitlab meetup Milano - Focus su Gitlab Devops Platform 27.01.2022
 
Viaggio nel mondo a servizi, come prepararsi per l'avventura
Viaggio nel mondo a servizi, come prepararsi per l'avventuraViaggio nel mondo a servizi, come prepararsi per l'avventura
Viaggio nel mondo a servizi, come prepararsi per l'avventura
 
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
Cloud Journey e IT Modernization: Da app monolitica a microservizi. vFunction...
 
Digitaltogether 2.0 IL MANIFESTO
Digitaltogether 2.0 IL MANIFESTODigitaltogether 2.0 IL MANIFESTO
Digitaltogether 2.0 IL MANIFESTO
 
POLARION by SIEMENS & GITLAB, una coppia vincente
POLARION by SIEMENS & GITLAB, una coppia vincentePOLARION by SIEMENS & GITLAB, una coppia vincente
POLARION by SIEMENS & GITLAB, una coppia vincente
 
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
Versioning dei modelli Enterprise Architect. Collaborazione e Standard con Le...
 
La Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream ManagementLa Digital Transformation ha un nuovo alleato: Value Stream Management
La Digital Transformation ha un nuovo alleato: Value Stream Management
 
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
 
INAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development PackINAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
INAIL e la cultura cybersecurity: Sonatype Advanced Development Pack
 
Polarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in aziendaPolarion ALM & Newired: vincere la resistenza culturale in azienda
Polarion ALM & Newired: vincere la resistenza culturale in azienda
 
Api gitlab: configurazione dei progetti as a service
Api gitlab: configurazione dei progetti as a serviceApi gitlab: configurazione dei progetti as a service
Api gitlab: configurazione dei progetti as a service
 
Smartbear: un framework unico per testare API e UI
Smartbear: un framework unico per testare API e UISmartbear: un framework unico per testare API e UI
Smartbear: un framework unico per testare API e UI
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio Devops
 
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
SCA del Software Open Source: come interpretarlo per evitare problemi di sicu...
 

Come proteggersi dagli attacchi informatici

  • 1. Come proteggersi dai nuovi metodi di attacco informatico RICCARDO BERNASCONI GABRIELE GIANOGLIO
  • 2.
  • 4.
  • 5. Fino a ieri… • L’occhio degli hackers osservava le vulnerabilità rese pubbliche e le riusava • Andava a caccia di bersagli facili (applicazioni prive di patch indicizzate su motori di ricerca Shodan/IoT) • Equifax 2017 data breach: Portale Web dei reclami dei consumatori con falla Apache Struts2 RCE flaw (CVE-2017-5638) • 2020: FortiNet circa 50,000 VPNs vulnerabili con bug vecchi di 2 anni (CVE-2018-13379), passwords esposte alle banche, VPNs della PA
  • 6. I 3 punti di attacco alla software supply chain • Issues all’interno delle dipendenze più diffuse • Replica delle issues nei mirrors • Utilizzate dagli sviluppatori nelle loro applicazioni - spesso è sufficiente scaricarle • Influenzano gli strumenti DevOps che utilizzano queste dipendenze • Influenzano le applicazioni che integrano le dipendenze compromesse • Le applicazioni vengono così violate, compromettendo i client UPSTREAM MIDSTREAM / IN YOUR SDLC DOWNSTREAM • Sfruttano i problemi noti • Introducono comportamenti dannosi influenzando il comportamento dei client
  • 7. Inject code in open-source components 350k packages >100k >133k Maven Central 5.4 million JARs >235k Projects published to… 100 million repositories ● Ogni componente distribuito su diversi repository ● Il quale viene ulteriormente distribuito ai mirror ● Utilizzato dagli sviluppatori nelle loro applicazioni ● Le applicazioni vengono compromesse, raggiungendo i client
  • 8. Picture here Perché attaccare l’ecosistema open-source? ● "fiducia" implicitamente stabilita nella comunità OSS ● Disponibile a tutti ● Crescita esponenziale nell’adozione, Microsoft acquisisce GitHub per $ 7,5 miliardi. ● E molto più facile distribuire librerie compromesse - trasmettere codice dannoso nel "downstream" (forking, dipendenze, ...) ● La fiducia nei repository open source incoraggia gli attacchi alla supply chain del software
  • 9. Casi reali di malware open-source e attacchi alla software supply chain
  • 10. Esempi recenti: Gitpaste-12 • Il malware Gitpaste-12 era in GitHub • Worm + botnet • Contiene 12 vulnerabilità, incluse componenti open-source • Reverse shells, spreads itself, dynamic C2 on Pastebin • La seconda versione ritorna un mese dopo con 30+ attacchi MID-STREAM
  • 11. Typosquatting & brandjacking malware Rendere gli attacchi alla software supply chain open-source efficaci e facili
  • 12. twilio-npm malicious npm component • Pacchetto Npm che prende il nome dal popolare provider di comunicazioni cloud, Twilio • Non appena installato ha lanciato la reverse shell • Scoperto da Sonatype, riportato immediatamente, npm takes è stato rimosso • Il pacchetto “twilio” ha ottenuto oltre 40 milioni di downloads. https://blog.sonatype.com/twilio-npm-is-brandjacking-malware-in-disguise UPSTREAM
  • 13. Discord.dll, discord.app malware • Componenti dannosi npm che hanno compromesso lo sviluppo dell’app Discord • Codice Offuscato furto di token Discord, file del browser, info giocatori • Successore di “fallguys” brandjacking malware che si era impossessato delle API del gioco Fall Guys: Ultimate Knockout" • Prende il nome dal pacchetto “discord.js” che ha avuto oltre 280K downloads settimanali. • L’app induce a installare questo componente dannoso • Scoperto da Sonatype, riportato immediatamente, npm eliminato https://blog.sonatype.com/discord.dll-successor-to-npm-fallguys- UPSTREAM
  • 14. Dependency confusion Una forma sofisticata di brandjacking UPSTREAM
  • 15. Jul 2020 Il sistema di rilevamento automatico del malware di Sonatype contrassegna i pacchetti di "ricerca sulla sicurezza" pubblicati da Alex Birsan. Sonatype li aggiunge ai dati che alimentano i prodotti Nexus Intelligence di nuova generazione. Jul 2020 – Feb 2021 Birsan continua a pubblicare i pacchetti di ricerca, ma il sistema di rilevamento automatico del malware di Sonatype continua a segnalarli nel tentativo di proteggere i clienti da qualsiasi comportamento illecito. Feb 9, 2021 Alex Birsan pubblica il suo blog di ricerca intitolato "Dependency Confusion: How I Hacked Into Apple, Microsoft and dozzens of Other Companies" Dettagli rilasciati su 35 aziende che hanno utilizzato uno o più dei pacchetti OSS di "ricerca". Anche Sonatype e Microsoft hanno pubblicato i resoconti lo stesso giorno. Feb 12, 2021 72 hours in 300+ copycats emerge Feb 16, 2021 Il rilevamento dei pacchetti copycat raggiunge il 7000% al di sopra della linea di base della settimana precedente. 8 months 1 Week Dependency confusion timeline 4 Weeks Feb 22, 2021 La notizia è ampiamente diffusa con 10 citazioni delle principali pubblicazioni tecnologiche. 575 pacchetti copycat identificati al 22 Feb Mar 2, 2021 750+ pacchetti copycat sono stati identificati come codice Malicious noto Mar 3, 2021 PyPI, npm inondato con 5,000 copycats Mar 9, 2021 8,000+ Copycats Mar 15, 2021 10,000+ Copycats
  • 16. Malicious copycats identificati da Sonatype infettano Amazon, Zillow, Lyft, Slack Copycats access .bash_history, /etc/shadow, launch reverse shells https://blog.sonatype.com/malicious-dependency-confusion-copycats-exfiltrate-bash-history-and-etc-shadow-files
  • 17. Gli sviluppatori presi di mira negli attacchi alla supply-chain di nuova generazione
  • 18. Sviluppatori Java che usano Maven e Jenkins presi di mira • Sonatype arresta gli attacchi alla software supply chain utilizzata dagli sviluppatori Java • Librerie che prendono il nome da componenti legittimi del compilatore Apache Maven, Jenkins mail-watcher-plugin, e  servlet-api pubblicati da Apache, Eclipse Jetty, Tomcat, etc. • Librerie Java (JARs) pubblicate con un namespace diverso com.github.codingandcoding • Librerie legittime scaricate 23 milioni di volte. • Librerie Malicious rimosse da Sonatype prima dei <900 downloads https://blog.sonatype.com/malware-removed-from-maven-central UPSTREAM / MID-STREAM
  • 19. Picture here Tools DevOps mal configurati, come Jenkins • Developer tools presi di mira • Moltissime organizzazioni fanno girare le loro CICD in chiaro per convenienza • Istanze Jenkins vulnerabili o mal configurate
  • 20. Gli attacchi alla supply-chain colpiscono sistemi “open and closed source”
  • 21. 2021: Gli attacchi alla supply-chain di SITA violano i programmi Frequent Flier Numerose compagnie aeree colpite
  • 22. Violazione di oltre 18,000 utenti tramite aggiornamenti contraffatti • Distribuito a oltre 18,000 clienti incluse agenzie governative mission-critical, e società di cybersecurity • Sono stati distribuiti ceppi multipli di malware prima e durante l’attaccco a Sunburst (Solorigate), Teardrop, Sunspot, …
  • 23. Lezione di DevOps: violazione alle Nazioni Unite, esposti oltre 100k documenti dello staff • I ricercatori* hanno trovato cartelle .git esposte con le credenziali dei DB e file .git-credentials • Accesso a 100k UNEP staff records • Clonati interi repositories con le Git creds • Potrebbe essere stato un attacco alla software supply chain *I membri del gruppo di hacking etico Sakura Samurai includono il fondatore di Anonymous, Aubrey "Kirtaner" Cottle
  • 24. Il caso Codecov • Codecov aveva rivelato un attacco della supply chain • Viene sfruttato il Bash Uploader di Codecov per pubblicare dati sensibili attraverso le variabili di Environment
  • 25. Vietnam govt complex software supply chain attack • Threat actors inject malware in an app offered by a CA: Vietnam Government Certification Authority • Operation SignSight • Legitimate MSI binary included PhantomNet backdoor that communicated over HTTPS with C2 https://www.zdnet.com/article/vietnam-targeted-in-complex-supply-chain-attack/ This Photo licensed under CC BY-NC-ND
  • 26. Operation SignSight: breaching Vietnam Gov’s CA ESET researchers’ report: https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/
  • 27. LA SFIDA: gray area nei repos open-source • Ricerca sulla sicurezza, raccolta di esempi o un altro Alex Birsan? • GitHub e altri repository spesso hanno esempi di malware e codice caricato a scopo di ricerca • È attivo un penetration-test? • Distinguere queste attività da quelle dannose This Photo licensed under CC BY-NC
  • 28. LA SFIDA: difficile valutare l’impatto degli attacchi alla software supply chain open-source • Difficile tenere traccia dei download totali • I download possono essere falsificati • Il codice può essere stato copiato (mirrors, forks, …) • Octopus Scanner: 26 progetti OSS? • Lo stesso vale per il malware OSS individuato da Sonatype
  • 29. Come prevenire gli attacchi alla software supply chain? • SBOM: devi sapere cosa integra il tuo codice • Applicare gli ultimi aggiornamenti e patch? Non sempre • Verifica l'integrità del codice • Non puoi monitorare manualmente le dipendenze • Una sorta di analisi binaria approfondita automatizzata che individui il codice dannoso nelle prime fasi
  • 30. Come prevenire gli attacchi alla software supply chain? • Gli strumenti devono essere in grado di scandagliare il codice offuscato • Tecniche sofisticate come la steganografia (codice nascosto all'interno di immagini / audio, metadati) potrebbero richiedere l'intervento manuale • ... il tutto in aggiunta ai controlli perimetrali di base, IDS / IPS, e al monitoraggio costante della rete che individua il traffico dannoso
  • 31. Automation, proactive action • Automated vulnerability detection - the volume is just too large • Next-gen Nexus Intelligence, proactive malware detection bots based on over 5 dozen signals (“red flags”) • Identified malicious components repeatedly • The human factor: Solid Security Research team analyzes complex malware, vulnerabilities
  • 32. SUPPLY CHAIN A PIENO SPETTRO Firewall Blocca automaticamente l'accesso al rischio nel tuo SDLC Nexus Lifecycle Identifica continuamente i rischi, applica le policy e rimedia alle vuln in ogni fase del tuo SDLC MUSE Analisi del codice sorgente developer-friendly per individuare problemi di sicurezza e affidabilità Nexus Container Proteggi i container dallo sviluppo al runtime
  • 33. Servizio dati open source di altissimo livello, continuamente perfezionato da AI, machine learning e 65 ricercatori in tutto il mondo ● 97% proprietary ● 10M Unique vulns ● 1.4M Sonatype IDs ● 12 hour fast tracks 100% powered by Nexus Intelligence. ● 8B files ● 67M components ● 2M projects ● 41 ecosystems