L’evoluzione delle minaccie e
degli impatti hacking e
malware per il settore finance
Marco Morana
Global Industry Committee
OWASP Foundation
OWASP
Security Summit
Milano
21-22 Marzo 2012 Copyright © 2011 - The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License.
The OWASP Foundation
http://www.owasp.org

Conoscete OWASP ?
OWASP 2

Agenda Della Presentazione
PARTE I: L’evoluzione degli scenari di computer e
internet hacking, attacchi ed agenti di minaccia
PARTE II: Analisi delle minaccie di hacking malware
e degli impatti per il settore finance
PARTE III: Evoluzione ed efficacia delle
contromisure e criteri per la mitigazione dei rischi di
hacking-malware
OWASP 3

PARTE I: L’evoluzione degli scenari di internet
hacking, attacchi ed agenti di minaccia
OWASP 4

Evoluzione delle minaccie hacking-malware
 Lo scenario delle minaccie e’ cambiato negli ultimi 10 anni:
• Ieri: attacchi isolati di script kiddies (adolescenti) con obbiettivi di
diffondere virus fare denial of service e diventare famosi
• Oggi: attacchi di gangs organizzate nella vendita di cybercrime.
Obbiettivi sono soprattutto profitti dal furto dati di identita’, dal furto
carta di credito per vendita e contraffazione, frodi online, denial of
service ai siti per motivi politici/hacktivism
SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape OWASP 5

Profili “threat agents” degli anni 1990-2000
Anno1999
Jooseph aka
“c0mrade”
James
installa
Anno 1994 sniffer e
Vladimir Levin intercetta le
aka ArkanoID
passwords
trasferisce 10 US Dept of
milioni di $ da Defense
citibank nel
suo conto
corrente by
hacking X.25
financial
Anno 2000 Onel
networks
Deguzman
autore del virus
Anno 2000 ILOVEYOU,
Michael Calce diventa famoso
alias MAFIABOY attaccando circa
All’eta di 15 anni, 10 milioni di
mette offline i computers nel
siti di yahoo, mondo., danno
ebay, cnn, estimato 5.5
amazon. Etrade miliardi $ per
disconnesso per disinfestare iil
90 minuti usando virus
file sharing
software
OWASP 6

Threat agents famosi degli anni 2001-2010
Anno 2004 Anno 2006 Jeanson James
Svem Ancheta primo autore di
Jascham botnet in affitto a spammers
autore del ed hacker, infetta e controlla
Sasser worm in totale 1/2 milione di
con un computers inclusi quelli della
impatto Defense Information
stimato di 10 Systems Agency (DISA)
milioni di host
infettati
2007 Albert Gonzales ruba
circa 130 milioni di acconti
di carte di credito dai
negozi Hannaford e TJX
Maxx e dai Bancomats nei
negozi SevenEleven
Usa SQL Injection per
installare malware sniffers
e dati fra POS e credit card
processors (e.g.
Hearthland Payment Anno 2010 la corte di giustizia di
Systems) Rivende i numeri NY sentenzia 37 hackers colpevoli
di carta e PINs nel mercato di frodi bancarie su scala globale
hacker underground per 3 milioni di $ usando malware
(Darknet) e realizza profitti Zeus
dalla contraffazione delle
carte via Bancomats
OWASP 7

Scenari di minaccia per siti financial: hackivism
OWASP 8

Principali incidenti per volume di perdita dati
OWASP 9

Gli incidenti di data breach piu’ recenti (2011)
 Sony (PlayStattion Network) Furto di dati di carta di
credito e password for 100,000 users
 Epsilon, sito con emails di AMEX, VISA, Retailers,
Banche, 60 milioni di emails compromesse
 RSA, servers del sistema di authenticazione a chiavetta
(SecureID token), milioni di clienti impattati hanno
dovuto sostituire le chaviette
 HBgary Federal, vendetta del gruppo Anonymous,
emails di clienti CEOs pubblicati su un server in Russia
 Stratofor, strategic intelligence-reporting per clienti,
860K emails e 75K numeri di carta di credito dei clienti
OWASP 10

Ok, let’s take a step back..
OWASP 11

PARTE II: Attacchi di hacking : analisi degli
minaccie e degli impatti
OWASP 12

Quali sono le cause e gli effetti degli
incidenti ?
OWASP 13

Principali cause degli incidenti con perdita di
dati ( Fonte Verizon, 2011)
 La maggioranza sono causate da hacking e diffusione di
malware
Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/
OWASP 14

Tipologia di dati compromessi da attacchi
malware-hacking (Fonte Verizon 2011)
 I tipi di dati piu’ a rischio sono carte di credito seguiti dai
dati di authenticazione
Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/
OWASP 15

Cause delle perdite di dati personali e
tipologia di attacco (Fonte datalossDB)
 Cause No1 e’ hacking (32%) dall’esterno (53%)
Source: DataLossDb.org
http://www.datalossdb.org
OWASP 16

Gli effetti di hacking e malware: tipologia di frodi
online Account takeover transferimenti di denaro
online via ACH/wire
Card non present fraud :pagamenti online con
dati carte rubate
Contraffazione carte credit/debit e frodi via
eATM/ABM, POS
Cattura dati di carta e sensibili con Man In
the Middle e Man in the Browser e
installazione di data sniffers nei canali
POS
Carding validazione dati di carta/debito
usando online form
Application fraud: Usare dati compromessi
online per aprire un conto
corrente, applicare per una carta di
credito (application fraud)
Attacchi e scams cross-border
Money-laundering usando money mules
Phishing e vishing ai fine di catturare dati di
carta (CVV, PINs, ACC)
OWASP 17

Le tecniche malware/hacking per frodi online
banking: account takeover
 Attacchi diretti al client (browser, PC)
 Sfruttano le vulnerabilita’ del browser (Iframes, Flash, Plugins) e
del client PC (no AV/AS) privilegi administrator
 Social engineering e phishing attraveso vari canali (email, facebook
etc)
 Attacchi diretti al sito online banking
 Sfruttamento di vulnerabilita’ del sito (e.g. autenticazione login,
debole, SQL injection, XSS, Iframe injection, Invaldiated
Redirection)
 Mancansa di misure server di filtering/white-listing, monitoring
eventi (e.g. no WAF, no SIEM, no blocking of malicious
cookies/HTTP agents)
 Attacchi diretti alle transazioni di pagamento/ bonifico
 Sfruttano mancanza di verifica origine della transazione (e.g. call
back, verificazione tranazione su canale indipendente)
 Sfruttano mancanza autentificazione esterna (e.g. OOBA,
SMS/voice, maker/checker dual person authorization)
OWASP 18

Esempio di attacco sul browser utente: Man
In The Browser
OWASP 19

Il ciclo delle frodi online usando malware
(fonte FBI) Malware coder scrive il codice oer attaccare
Hacker compra il crimeware la banca (crimware)
o lo prende in affitto
Banking malware
cattura i dati in
tastiera ed online
Hacker si collega al
server , accede al
computer della
Utente online banking
vittima e si collega
PC viene infettato con il
all conto online con i
baking malware
dati del server
Hacker si
collega all conto
online con i dati
del server
Hacker fa un bonifico ad un Bonifico viene trasferito al
conto terzo (money mule) conto del hacker
Source: of the image from http://en.wikipedia.org/wiki/Zeus (Trojan_horse) The Zeus Fraud Scheme
OWASP 20

Zeus banking malware: tracking dei siti
controllati dai fraudsters (dati in real time
dal sito abuse.ch)
Source: https://zeustracker.abuse.ch/statistic.php
OWASP 21

La lista prezzi dati carte e log-ins, hacking
tools e servizi cybercrime (fonte PandaLabs
2011)
Source PANDA labs: http://ww.pandasecurity.com
OWASP 22

Quale attenzione dedichiamo alla possibilita’
di futuri incidenti ?
OWASP 23

Monetizzazione del possibile impatto di una
perdita di dati per un exploit di vulnerabilita’
di SQL injection
1. Calcolare la probabilita’ dell’attacco
Assumi i seguenti dati statistici:
- il 11 % delle perdite dei dati avviene online
(dati datalossDB)
- il 19 % degli attacchi sfruttano SQL injection
(dati del WHID)
Probabilita’ e’ 2 % di perdere dati online per un
attacco di SQL injection
2. Calcolare il valore dell’ asset (i dati)
- 400 Euro per record (500-2000 as range)
- Sito con 300,000 utenti registrati online
Valore dell asset = 120 milioni di euro
Liabilita di attacco SQL injection = Probabilita X
Valore Asset = 2.4 milioni di euro o 80
Euro/customer OWASP 24

Monetizzazione del possibile impatto di
hacking-malware account take over ?
1. Calcolare la probabilita’ dell’attacco
Assumi i seguenti dati statistici:
- in UK circa 100,000 PC sono infetti da malware Zeus
(Trusteer) su una numero di PC in UK di 36 milioni la
probabilita e’ 0.2 %
Probabilita’ e’ 0.2 % di frode online a causa di un
attacco malware Zeus
2. Calcolare il valore della transazione wire/ACH
- valore massimo di transfer via ACH online :
5,000 £
- numero di clienti gold con depositi medi ( > 10,000 £):
50,000
Valore della transazione (cumulativo) = 250 milioni di £
Liabilita di account take over online = Probabilita X
Valore Asset = 500,000 £ o 10 £/customer
OWASP 25

Monetizzazione degli impatti per frodi con uso
di dati di carte compromesse o contrafatte
Source: Australian Payments Clearing Association (APCA) referred in
http://lockstep.com.au/blog/2011/09/27/au-cnp-fraud-cy2010 OWASP 26

Impatti tangibili (monetary) ed intangibili
(percezione)
Source: DataLossDb.org
http://www.datalossdb.org
OWASP 27

PARTE III: Evoluzione delle delle misure di
prevenzione e riduzione del rischi e criteri di
investimento
OWASP 28

Nuove technologie offrono nuove opportunita di
attacco e nuove sfide per la sicurezza
Technologie di ieri Technologie di
oggi
OWASP 29

Nuove technologie, nuovi rischi e percezioni
Source: http://www.newschannel5.com/story/15982718/high-tech-
pickpockets-can-steal-credit-card-info
OWASP 30

Evoluzione delle misure di sicurezza vs.
evoluzione delle minaccie alcuni esempi
Le frodi per
contraffazione care
sono diminute dal
2004-2006 ma
sono autmentate
dal 2006 in poi (*)
2011 FFIEC
stabilische nuove
linee guida per
mitigare il riischio
malware/account
2006 FFIEC
take over
stabilische che
simple log-in non
e’ piu sufficiente
per transazioni a
rischio (**)
(*) Source http://www.cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf
(**) Source FBI http://www.ic3.gov/media/annualreport/2009_IC3Report.pdf OWASP 31

Evoluzione della security governance negli
ultimi 20 anni
Build Security In Maturity Model http://bsimm.com/
OWASP 32

Chi non evolve si addatta per paura FEAR
UNCERTAINTIY incertezza o DOUBT dubbio
F
 Fear of failing audit/non
compliance => additional fines,
restrictions and controls (e.g.
SEC, PCI etc)
 Fear of bad reputation =>
public disclosure of data breach
of PII in most US states (SB1386)
 Fear of lawsuits => fraud
U losses from private’s business and
customers
 Uncertainty on business
impacts => Are we the target?
How much money we loose from
fraud incidents?
 Doubts on risk mitigation
D
measures => Not trusting our
own security technology, people,
processes
OWASP

Chi si evolve adotta application risk management
(e.g. NIST, TM, FAST, OCTAVE, PASTA)
OWASP 34

Approccio application risk management
applicato alle minaccie hacking-malware
 Valutare le minaccie (le cause) hacker prende di mira
on-line banking application per i dati e per condurre frodi
(transferimento non autorizzato di denaro)
 Identificare le vulnerabilita’ (debolezze
dell’applicazione) Errori nel design di autenticazione e
session management; Vulnerabilita’ in garantire
confidenzialita’ e integrity dei dati; mancanza di logs e di
tracciabilita’ degli eventi e azioni degli hackers sui sistemi
 Determinate l’impatto tecnico (compromissione dei
controlli) By-passamento di authenticazione multi-fattore
(Challenge/Questions, KBA, OTPs;) By-passamento logica di
identificazione del client prima di autorizzare transazioni;
Compromissione delle web forms al fine di ottenere dati
dall’utente. Abuso session di autenticazione.
 Determinare l’impatto per il business (perdita
denaro) Perdite per Frodi/transferimento di denaro a
mules; Perdita di data sensibili; Azioni legali per copertura
danni account; Multe per non essere a norma con standards
di sicurezza OWASP 35

Quali criteri per la decisione
dell’investimento in application security ?
1) “75% degli incidenti
prende di mira
applicazioni web”-
2) “Piu del 70% delle
vulnerabilita’ sono a
livello applicativo e non
network”
3) “Ridurre le vulnerabilita
nel codice/software del
50% porta ad un
risparmio del 75% sul
costo totale della
rimediazione delle
vulnerabilita’
1,2,3 Sources: Gartner
OWASP 36

Vantaggi economici della sicurezza “built into”
nello sviluppo di software sicuro (SDLC)
Rimediare le
vulnerabilita’ in
di design e
coding produce
un risparmio del
OWASP 37

Criteri guida per investimenti in application
security: la OWASP Appsec guide per CISOs
Source: https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs
OWASP 38

QUESTIONS
ANSWERS
OWASP 39