Easy Security Threat – Revisione numero 4.0 Roma 12 Agosto 2014

Autore : Massimiliano Brolli

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Indice del documento

Premessa Buoni e Cattivi Classificazione tecniche di attacco

• Tecniche di Attacco finalizzate al Recupero dei dati con Intrusione Diretta• Tecniche di Attacco finalizzate al Recupero dei dati con Intrusione

Indiretta (Spamming e Phishing)• Tecniche di Attacco finalizzate al Blocco del sistema• Zero-day Attak • Attacchi APT

Mitigare gli attacchi La Cyber Security Allegati

2

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Premessa

Lo scopo di un attacco informatico ha come fine ultimo colpire una data organizzazione o accedere a dati facilmente rivendibili.

Molti attacchi iniziano dagli utenti stessi dei sistemi tramite tecniche di Ingegneria sociale tanto da indurli a fornire dati sensibili o ad avviare transazioni economiche dai propri conti bancari a conti controllati dai cracker stessi.

In questo documento si vuole illustrare in maniera sintetica ma allo stesso tempo esaustiva le tecniche di attacco ad un sistema informatico e i metodi di difesa.

• Per tecniche di Attacco si intende un insieme di metodi che sfruttano vulnerabilità dei sistemi che consentono ad un attaccante (Hacker / Cracker) di introdursi illecitamente in essi praticandone del dolo.

• Per metodi di difesa invece si intende un insieme di tool tramite i quali è possibile una Riduzione del rischio di intrusione sui sistemi.

3

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Buoni e Cattivi

Nel Cyber-Space (spazio condiviso tra relazioni logiche e fisiche, tra sistemi, hardware, software, dati e utenti) esistono i Buoni ed i Cattivi esattamente come nel mondo reale.

Mentre le grandi organizzazioni spendendo ingenti somme di denaro tentano di mettere al riparo le proprie infrastrutture informatiche da intrusioni illecite (sia dall’esterno che dall’interno della società stessa) altri «loschi figuri» con pochi mezzi e poche finanze discutono in forum inaccessibili l’ultimo exploit e falla conosciuta su un sistema operativo.

Il genere «Cattivi» si differenzia in 2 specie : Hacker : colui che si impegna nell'affrontare sfide intellettuali o per aggirare

o superare creativamente le limitazioni che gli vengono imposti da qualsiasi software.

Cracker : colui che si ingegna per eludere blocchi imposti da qualsiasi software al fine di trarne profitto.

Il genere «Buoni» si differenzia in 3 specie : Addetti alla sicurezza informatica : colui che si impegna a migliorare i

sistemi di competenza avviando azioni di rientro o di mitigazione delle carenze riscontrate.

Addetti alla divulgazione della sicurezza informatica : colui che si impegna a definire e a divulgare best-Practices, Policy, linee guida, ecc... Per consentire la riduzione del rischio.

Addetti alla misura del Rischio : colui che si impegna a misurare attraverso determinati Assessment le misure di sicurezza messe in campo sui sistemi.

4

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Classificazione delle tecniche di attacco

Esistono moltissime tecniche di attacco, in questo documento ne vedremo alcune tra le più conosciute ma la distinzione che possiamo fare è sullo scopo dell'azione.

Alcune hanno come scopo il recupero dei dati contenuti nel sistema mentre altre hanno come scopo la distruzione o l'inaccessibilità dei servizi :

1. Tecniche di recupero dati di un sistema• Intrusione Diretta : tecniche di attacco diretto • Intrusione Indiretta : tecniche di attacco indiretto che

pongono l'utente al centro della frode2. Tecniche di Blocco del sistema : Metodi di attacco

diretto/indiretto che hanno come scopo il rallentamento o il blocco completo del servizio.

3. Zero-Day Attak : Vulnerabilità sconosciute che vengono sfruttate fino a quando ad un giorno «Zero» sono classificate.

4. APT : Attacchi mirati e persistenti, progettati ad-hoc per colpire una determinata organizzazione.

5

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Attori Fisherman’s Tale

Polpo Incarna : Malware

SurferIncarna : Utente

EscaIncarna : Phishing

Pesce pallaIncarna : Grande Organizzazione

SqualoIncarna : Cracker

Branco di pesciIncarna : Utenti

Di seguito vengono riportate le icone che rapresenteranno gli attori nel contensto della sicurezza informatica che verranno utilizzate nelle rappresentazioni grafiche successive.

Tali rappresentazioni descrivono graficamente le tecniche di Attacco praticate per permettere di approfondirne le dinamiche e le iterazioni tra gli Attori e i Sistemi.

6

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Tecniche di Attacco finalizzate al Recupero dei dati con Intrusione Diretta

7

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

1. Tecniche di recupero informazioni : Tecniche che consentono all’attaccante di prelevare informazioni utili per condurre un attacco mirato

• Port Scanning & Data sniffing• Information disclosure

2. Tecniche di attacco : Tecniche di attacco al sistema atte a sottrarre un account di amministrazione.

• Code injection• Insecure Direct Object References• Man in the middle• Utilizzo di Exploit

3. Persistenza dell’attacco : Tecniche utilizzate per controllare nel tempo il sistema compromesso e vengono utilizzate una volta concluso positivamente il punto 2 che ha permesso all’attaccante di disporre di un account di amministrazione sul sistema.

• Backdoor (Web-Shell & Reverse Shell)• Key logger

Classificazione

Queste tecniche costituiscono nel loro insieme una rosa di metodi che possono essere utilizzati singolarmente oppure uniti per condurre un attacco mirato ad un dato sistema.

8

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Attaccante

Server W

eb

1

1) Mentre i tools di Port Scanning attivano Socket verso il server web ciclando su tutte le porte del server per conoscere quale servizi siano in stato di Listening, i tool di Data Sniffing analizzano i dati pervenuti dalle richieste inviate al server per carpire informazioni utilizzabili per condurre un attacco mirato.

L’attaccante avvia delle sessioni di programmi che permettono di :• Effettuare una scansione delle porte attive sul

server da colpire per comprendere quali servizi risultano attivi.

• Verificare (Ad esempio tramite Header http) che il server Web mostri informazioni sulle versioni dei prodotti installati.

Port Scanning

Data Sniffing

2

2) Risposte da parte del server alle richieste effettuate dai Tools di recupero informazioni. Alcuni tool (Vedi NetCat) permettono di eseguire la tecnica del «Banner Grabbing» e rilevare la versione delServizio in listening su unaSpecifica porta.

Port Scanning & Data Sniffing• Questo genere di attacco di recupero informazioni (nell’esempio un port scanning insieme ad un Data Sniffing) permette di recuperare dati

importanti per preparare e condurre un attacco mirato.

• L’Hacker/Cracker ha a disposizione una rosa di tool che permettono di verificare e comprendere quali servizi e versioni di tali servizi sono installati sul server che verrà attaccato. Il passo successivo e verificare se per quelle versioni e servizi sono presenti Exploit che possono essere utilizzati per aprire una breccia sul sistema.

• Un esempio classico è l’utilizzo di nmap o Netcat come prima attività di verifica e scansione di un sistema da attaccare. nmap permette di individuare porte oltre ad ipotizzare il sistema sul quale sono ospitati i servizi. Nmap viene spesso confuso con Nessus, programma che permette di individuare delle vulnerabilità nei sistemi.

9

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Server W

eb

Server D

BMS

Attaccante

1) L’attaccante avvia una richiesta alle pagine di web di amministrazione inducendola in errore

1

2) Il server Web Effettua una chiamata al server DBMS all’interno della LAN dell’azienda

2

3

3) Il server DBMS non consente la connessione tramite il metodo con.Open()

L’attaccante riceve dalla pagina Login.aspx una serie di informazioni molto utili per condurre l’attacco quali l’IP del server DBMS interno alla rete, l’istanza del database.

Information Disclosure• Questo genere di attacco di recupero informazioni (nell’esempio un’information Disclosure in ambiente Microsoft .NET) si basa

nell’individuare informazioni utili per condurre un attacco mirato sul sistema attaccato..

• L’Hacker/Cracker procede ad invocare una serie di pagine web o sfrutta delle pagine web non configurate correttamente come ad esempio la pagina Login.aspx dell’esempio in calce. Tale pagina non essendo processata (ad esempio per un malfunzionamento temporaneo del DBMS server come un problema di rete) non effettua la connessione al server andando in errore e mostrando una serie di informazioni preziose all’attaccante.

• Molto spesso la prima cosa che si effettua è mandare in 404 il server web per vedere se fornisce informazioni sulla versione del servizio, da qui poi la ricerca di vulnerabilità ed exploit per avere un varco sul sistema.

10

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

4

4) Ora l’attaccante è in possesso di un Exploit

Server W

eb

• Questo genere di attacco sfrutta le vulnerabilità introdotte su una data versione di Sistema Operativo, Applicazione o Middleware a causa di un errato Patching Management.

• Gli Exploit sono in genere programmi, shell, o script che sono stati creati per sfruttare quella data vulnerabilità.

• Nell’esempio riportato di seguito, viene eseguito il consueto percorso che sfrutta un Hacker una volta avuta a disposizione (ad esempio con un port scanning sfruttando il banner grabbing) la precisa versione di un servizio da attaccare.

• Esistono molti siti di Exploit come exploit-db.com oppure cvedetails.com ma sicuramente BigG è la soluzione più veloce e diffusa.

Gli Exploit

Attaccante

3

3) Ora l’attaccante verifica su internet (utilizzando Google o appositi siti nei quali ricercare Exploit le vulnerabilità per la versione 5.4.16 di PHP

5

5) L’attaccante ora sviluppa l’Exploit verso il server target di Destinazione sferrando (per la vulnerabilità)

1) L’attaccante effettua un port scanning sul server alla ricerca delle porte/servizi in ascolto 1

2

2) Rilava informazioni utili per condurre un attacco mirato come visto precedentemente nell’Information disclosure

11

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Server W

eb

Server D

BMS

• Questo genere di attacco sfrutta Vulnerabilità del codice applicativo (nell’esempio un SQL Injection in una form di Login in una applicazione Java/Oracle) permette di recuperare dati sensibili attraverso l’Injection nei campi delle Form dall’applicazione Web di stringhe SQL contraffatte.

• Esistono diversi tipi di Code Injection, le più comuni sono SQL, LDAP, SSI, Xpath, XSLT, HTML, ecc…

• I comandi di injection possono consentire ad un aggressore di creare, leggere, aggiornare o eliminare arbitrariamente ogni tipo di dato utilizzato nell’applicazione. Nel peggiore dei casi, queste vulnerabilità possono permettere ad un aggressore di compromettere completamente l’applicazione ed il sottostante sistema, scavalcando persino complesse catene di firewall.

Attaccante

4) Il server Web fornisce la pagina di amministrazione dell’applicazione.

In questo modo l’attaccante avrà accesso a tutti i dati dell’applicazione oltre a poter effettuare danni persistenti su di essa.

4

11) Il client richiede al server web la pagina affetta da SQL Injection 2

2) Il server Web fornisce la pagina web al client, il browser del client esegue il rendering dell’HTML prodotto dal server web

3

3) L’attaccante inserisce al posto della password un valore SQL contraffatto (Ad esempio ‘ or ’1 =’1′ ) di modo che la query SQL lanciata dall’applicazione restituisca un valore positivo.

Code Injection

12

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Server W

eb

Attaccante

1

1) L’attaccante una volta scoperta la pagina affetta da Path Traversal la invoca richiedendola al server Web

3

3) L’attaccante prepara una richiesta malformata e invoca la pagina affetta da path traversal.

4 4) Il server Web fornisce l’output dell’elaborazione ma questa volta all’interno dell’elaborazione verranno forniti anche dati non previsti dall’applicazione web.

2

2) Il server Web fornisce la pagina web al client, il browser del client esegue il rendering prodotto dal server web

Insecure Direct Object References• Gli attacchi di tipo Insecure Direct Object References si basano sulla manipolazione di parametri esposti in chiaro dagli sviluppatori

all’interno di una applicazione. L’esempio specifico fa riferimento al Path Traversal ovvero la possibilità di attraversare directory del server

attraverso l’utilizzo illecito dei parametri in chiaro ad esempio passati sulla URL (nell’esempio il famoso Path Traversal in ambiente Microsoft IIS4/Classic ASP per permettere l’accesso alle directory di sistema operativo utilizzando le applicazioni web.)

• L’Hacker/Cracker una volta identificata la pagina affetta da path traversal, può eseguire la lettura di file (come ad esempio /etc/shadow in ambiente Unix like) e tentare un bruteforcing degli hash con tool che sfruttano gli acceleratori grafici GPU per aumentare la potenza di

calcolo come ad esempio il Freeware Hashcat o Jhon The Ripper, Markov e OphCrack.

• Eseguito con successo il Cracking delle password l’attaccante disporrà di un accesso privilegiato per rendere persistente l’attacco.

13

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Attaccante Jack

• Questo genere di attacco viene utilizzato (nell’esempio un esempio di Instant Messaging SSL con attacco MITM) per permettere ad un attaccante di leggere, modificare a piacimento i messaggi scambiati tra due parti. Generalmente con flussi in chiaro è possibile leggere con degli Sniffer il traffico e carpire le credenziali in transito ma l’attacco MITM è possibile anche a connessioni sicure.

• Il Cracker/Hacker grazie alle carenze di autenticazione del protocollo ARP (Address Resolution Protocol) effettuerà un ARP Spoofing (con ad

esempio Cain ) per indurre il Router a forwardare i pacchetti in transito sul suo pc. Grazie all’aiuto di uno sniffer come Ettercat e tool per

forzare connessioni sicure come sslstrip completerà l’attacco come descritto in calce.

Utente Luca

1) Luca invia la sua chiave pubblica ignaro che Jack stia eseguendo uno sniffing dei dati .Ora anche Jack conosce la chiave pubblica di Luca.

1

Utente Carlo

3

3) Jack invia una propria chiave pubblica a Luca il quale pensa che sia la chiave proveniente da Carlo

2) Carlo tenta di inviare la sua chiave pubblica a Luca ma Jack ne blocca l’invio, da ora anche Jack è a conoscenza della chiave di Carlo.

2

5

5) Jack una volta bloccato il messaggio di Luca invia i propri dati e il codice IBAN di un conto da lui controllato a Carlo

Banca O

nliine

6

6) Ora Carlo, sicuro che i dati e il codice IBAN forniti da Luca sono corretti, procede ad effettuare il bonifico ignaro che verrà effettuato sul conto di Jack

4

4) Luca ora invia il proprio Account a Carlo il suo i dati e il codice IBAN per farlo procedere al bonifico che gli aveva promesso ma Jack lo intercetta e lo blocca.

Man in the Middle

14

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

• Le Backdoor (Porta sul retro) sono programmi che consentono di superare le restrizioni di sicurezza imposte su un dato sistema.

• si tratta di applicazioni che permettono di eseguire/controllare il server compromesso da remoto tramite l’ausilio di un client di accesso come ad esempio un Web Browser o un client ssh.

• Esistono una moltitudine di tipologie di Backdoor suddivise per Layer Applicativo (SO, Applicazione e Middleware) nell’esempio che andremo ad analizzare si effettua l’installazione di una WebShell per finalizzare un attacco e quindi renderlo persistente.

• Le WebShell (nate inizialmente per PHP quali c99, Madspot, b374k, weevely ) si sono estese ad ogni Application server (vedi Apache/Tomcat, IIS/ASP o ASP.NET) e consentono di amministrare il server da remoto tramite interfaccia web.

• Nell’esempio il Cracker/Hacker procede con l’installazione di una Reverse Shell su Tomcat di modo da poter amministrare il sito da remoto.

Backdoor (Web Shell e Reverse Shell)

Attaccante

1

1) L’attaccante ha scoperto la presenza di Tomcat su un server Apache e digita la pagina di amministrazione.Sfruttando la password di default dell’utenza Tomcat (tomcat) che molto spesso non viene cambiata dall’amministratore del sistema, procede a raggiungere la pagina di Upload deli WAR files per procedere con il Deploy della webshell.

2

2) Acceduto alla pagina di amministrazione, carica il WAR in maniera manuale oppure utilizzando tool di attaccoautomatizzato come ad esempio Metasploit o Netcat per far creare in maniera automatica la Reverse Shell su Tomcat.

3

3) Ora l’attaccante eseguita l’applicazione su Tomcat, potrà connettersi all’applicazione tramite La Reverse Shell e disporre del prompt dei comandi.

Banca O

nliine

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

• I Key logger sono programmi classificati come Backdoor che intercettano e tracciano ogni comando eseguito dall’utente di modo che possa essere analizzato dal Cracker/Hacker per condurre un attacco mirato.

• Si dividono in due tipologie, Locali e remotizzati in quanto possono eseguire il tracciamento direttamente sulla macchina compromessa oppure inviare il log ad un altro server presente in rete. Questi programmi vengono installati o in attacchi mirati oppure distribuiti da Malware di diversa natura come Virus o Trojan o worm. Sono sviluppati per intercettare username e password o dati di carta di credito.

• Nell’esempio in calce, a seguito di un accesso con privilegi Amministrativi, si attiva un keyLogger per carpire le credenziali di accesso dello strato Database di modo da procedere con la raccolta delle carte di credito presenti al suo interno.

Key Logger

Attaccante

Banca O

nliine

1

1) L’attaccante è riuscito ad avere un accesso privilegiato sulla macchina Linux utilizzando ad esempio una tecnica vista in precedenza magari installando una Remote Shell.

alias ssh='strace -o /tmp/.sshpwd-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh'2

2) L’attaccante digita i comandi necessari a tracciare tutto quanto quello che transita tramite SSH oppure compila un programma appositamente creato per tracciare i tasti digitati dagli utenti.

3

3) Ora l’attaccante potrà leggere all’interno della directory /tmp/ i file di log generati e carpire prezione sinformazioni come ad esempio l’utilizzo di credenziali di accesso su Layer differenti dal SO.

16

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Banca Onliine

• Le Rootkit sono programmi (letteralmente Kit di Amministrazione) che permettono di connettersi ad un sistema con privilegi amministrativi senza avere autorizzazioni esplicite da parte di altri amministratori del sistema. Le Rootkit si dividono in user-mode e in kernel-mode. Mentre i primi funzionano a livello applicativo i secondi (molto più pericolosi) permettono di interagire a livello del kernel del sistema operativo e permettere accessi privilegiati sulla macchine nella quale sono installati.

• Molto spesso veicolati all’interno di malware di diversa natura come trojan e virtus, le Rootkit possono essere installate a seguito dell’individuazione di Exploit sui sistemi operativi o per mantenere un accesso privilegiato sul sistema.

• Nell’esempio il Cracker/Hacker installa (individuato l’exploit in ambiente Windows) una Rootkit molto pericolosa Mebroot (della categoria delle Bootkit) che interferisce con il MBR ed è difficile la sua eliminazione oltre a consentire di fornire dati prezioni agli attaccanti.

Rootkit

Attaccante

1

1) L’attaccante tramite l’utilizzo di un virus installa su una serie di computer degli utenti la Rootkit Mebroot.

2

2) Gli utenti non si accorgono della Rootkit ed eseguono le consuete operazioni sui conti online

Server controllatoDall’attaccante

3

3) Mebroot fornisce costantemente le informazioni digitate dagli utenti (url, user/password, codici di attivazione) ad un server controllato dall’attaccante.

4

4) L’attaccante accede ai server da lui controllati per carpire le informazioni fornite da Mebroot

5

5) Esegue bonifici di poche migliaia di euro dai conti degli utenti truffati verso terze persone 8che collaborano con l’attaccante detti soldatini) che poi trasferiranno le somma all’estero con i servizi di money transfert

17

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Tecniche di Attacco finalizzate al Recupero dei dati con Intrusione Indiretta (Spamming e Phishing)

18

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Classificazione

Queste tecniche di intrusione possono sfruttare l’accesso casuale degli utenti a pagine contraffatte oppure l’ingegneria sociale (arte dell'inganno) per indurre un utente a compiere una azione illecita carpendone la fiducia utilizzando come driver di attacco messaggi di Spam o Phishing in generale.

Le vulnerabilità più note che partono dall’invio di una mail di Spam sono :

• Distribuzione di Malware generico• Sfruttamento di vulnerabilità del codice applicativo

1. Cross site Scripting persistente2. Cross site Scripting NON persistente3. Cross Site Request Forgery4. Open Redirect

• Alcuni Exploit1. Clickjacking2. Tab Nabbing

• Anche se il fenomeno più redditizio ad oggi tra gli spammer è compromettere computer sparso nel globo tramite malware di diversa natura per agganciarli alle Botnet per i DDoS (come vedremo più avanti), il fenomeno del Phishing per il recupero delle credenziali e lo spamming per intrusione indiretta permette di indurre un utente ad effettuare attività illecite, appositamente studiate finalizzate ad esempio allo spostamento di fondi tra le banche online.

• I messaggi di spam nel mondo si attestano a Gennaio 2014 (fonte kaspersky) al 65% del traffico totale di posta elettronica (le prime tre nazioni) Cina Usa e Corea del sud e Italia 14,3% (fonte IBM)

• Il 91% degli APT risultano iniziare proprio da una mail di phishing.

• Lo spamming è una tra le forme più «artistiche» degli attacchi informatici, costantemente studiati per carpire la fiducia degli utenti con le più disparate arti di inganno.(come ad esempio il Tab Nabbing)

19

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Attaccante

Utenti/e Sito controllato dall’Attaccante

2

2) La mail viene processata nel client di posta dell’utente.L’utente effettua l’apertura dell’eseguibile infetto che installa all’interno del computer il Malware come ad esempio un drone per attacchi DDoS.

Distribuzione di Malware• Questo genere di attacco di intrusione indiretta permette di infettare numerosi computer con Malware di diversa natura.

• Il tutto parte da mail di Spam e le varianti sono moltissime, ne analizzeremo di seguito tra le più conosciute :• Virus : Ha la capacità di infettare file e cartelle eseguendo copia di se stesso all'insaputa dell'utente.• Worms : (In inglese verme) ha la capacità di autoreplicarsi anche senza legarsi strettamente con un programma eseguibile.• Trojan : Software che appaiono apparentemente utili ma che nascondono al loro interno Malware di diversa natura.

• Backdoor : Programmi che permettono un accesso non autorizzato e superare delle restrizioni specifiche di un dato sistema.

• SpyWare : Programmi spia che permettono di raccogliere informazioni all’insaputa dell’utente.

• Anche se questi programmi (come visto nell’intrusione diretta per le Backdoor) possono essere installati direttamente sui server/client per finalizzare un attacco, molto spesso vengono distribuiti all’interno di mail di Spam di diversa natura.

1

1) L’attaccante invia una mail di Spam (utilizzando l’ingegneria Sociale) ad una serie di utenti che ignari accederanno alla posta ed effettueranno l’azione scorretta voluta dal Cracker come ad esempio aprire un eseguibile, accedere ad un sito infetto, ecc…

3

3) Ora il Malware accede al server internet controllato dall’attaccante notificando la sua presenza e fornisce una serie di informazioni preziose reperite nel computer infetto come ad esempio password, informazioni personali, utili per condurre attacchi mirati oppure banalmente inserendosi in una Botnet per attacchi DDoS.

20

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Utenti

Server C

ontrolla

to

dall’atta

ccante

6

6) Il browser dell’utente eseguirà lo script contraffatto e a sua insaputa accede alla pagina web affetta da XSS. La pagina esegue sul client lo script contraffatto il quale restituisce il cookie di sessione su un server controllato dall’attaccante.

Server W

eb

• Questo genere di attacco che sfrutta le anomalie del codice applicativo (nell’esempio un XSS Persistente in un Forum Java) permette l’esecuzione di codice contraffatto sui browser degli utenti.

• L’Hacker/Cracker in questo scenario sfrutta l’incapacità da parte delle applicazioni (nel nostro caso del Forum) di «validare» i dati di input inserendo all’interno dei messaggi sottomessi dagli attaccanti del codice malevolo progettato dai Cracker.

• Il codice eseguito ovviamente sarà Client-Side quindi javascript, VbScript, tag OBJECT con riferimenti ad ActiveX contraffatti ed altro ancora. Ovviamente la disabilitazione dell’esecuzione degli script da parte del Browser risolverebbe il problema ma non permetterebbe alle applicazioni di funzionare.

Attaccante

2

2) Il server Web fornisce la pagina richiesta affetta da Cross Site Scripting.

3

3) L’attaccante crea lo script che permette di inviare ad un sito contraffatto le credenziali di accesso al forum dell’utente (ad esempio i cookie di sessione) e lo inserisce all’interno di un messaggio (persistente) del forum.Visto che si tratta di un forum, il codice Javascript verrà eseguito su tutti i client degli utenti fornendo all’attaccante (ad esempio su un sito da lui controllato) i cookie di sessione.

4) Gli utenti ingari richiederanno la Home page del forum la quale sarà affetta da XSS persistente.

4

1

1) Il client richiede al server web la pagina affetta Cross Site Scripting

5

5) Il sito Web invierà al client la pagina Web richiesta con il codice contraffatto dall’attaccante.

7

7) Ora l’attaccante può accedere al server di Storing delle credenziali per effettuare uno Spoofing dell’utenza sul Forum.

Cross Site Scripting Persistente

21

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

• Questo genere di attacco sfrutta le anomalie del codice applicativo (nell’esempio un XSS non persistente su una banca OnLine) che permette l’esecuzione di codice contraffatto sui browser degli utenti.

• L’Hacker/Cracker in questo scenario sfrutta l’incapacità da parte delle applicazioni (nel nostro caso della banca OnLine) di non prendere in considerazioni richieste contraffatte (ad esempio con Javascript o Html).

• Il codice eseguito ovviamente sarà Client-Side quindi javascript per eccellenza ed altro ancora. L’attaccante potrà quindi procedere nell’acquisizione dei cookie dell’utente e quindi condurre un attacco mirato. Ogni attacco di Cross Site Scripting comincia con una mail di Phishing, prestare attenzione ai link che contengono tag <SCRIPT> o escape come ad esempio strani %73%63%72%69%70%74.

Attaccante

Utenti/e

Servizio Web affetto da XSS

Server Controllato dall’attaccante

2

2) L’utente (sicuro di accedere al sito della sua banca) accede al link contraffatto contenente codice Javascript

3

3) Il server invia la pagina all’utente la quale conterrà un Javascript per il furto del cookie di sessione dell’utente.Il Javascript verrà eseguito sul Browser dell’utente in quanto proveniente dal sito che ha generato il Cookie

4

4) Il Javascript eseguito dal Browser dell’utente una volta prelevata la User e la password accederà ad un sito controllato dall’attaccante nel quale andrà a depositare le credenziali dell’utente.

5

5) l’Attaccante ora può controllare sul server con cadenza regolare se sono presenti credenziali utente valide per accedere alla Banca Online

6

6) Ora l’attaccante accede alla Banca OnLine e procede a finalizzare l’attacco

Cross Site Scripting NON Persistente

1

1) L’attaccante invia una mail di Phishing ad una rosa di utenti nella quale sono presenti i link contraffatti che utilizzano il sito (ad esempio una banca OnLine) affetto da Cross Site Scripting

Il codice viene eseguito nel browser dell’utente e questo potrà avere accesso al cookie di sessione

22

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

AttaccanteUtenti/e

Servizio Web affetto da XSS

2

2) La mail viene processata nel client mail dell’utente e viene invocata la pagina presente sulla URL dell’immagine che cancellerà l’account del malcapitato.L’immagine verrà visualizzata con il simbolo X ma l’attacco è stato finalizzato in quanto il server web avrà già processato richiesta contraffatta.

Cross Site Request Forgery• Questo genere di attacco sfrutta Vulnerabilità delle applicazioni (nel nostro caso la cancellazione di un account da un forum) di eseguire

richieste senza una ulteriore validazione/iterazione da parte dell’utente con il sito web.

• L’Hacker/Cracker sfrutta in questo caso la fiducia dell’utente e l’ingegneria sociale (tramite l’invio di una mail di Phishing) e successivamente sfrutta l’incapacità dei siti di richiedere una ulteriore conferma agli utenti prima di procedere con l’azione richiesta.

• In questo caso basterebbe che le applicazioni utilizzassero meccanismi di captcha o codici (generati casualmente per verificare la corrispondenza con quanto presente sul server) per una verifica dopo una ulteriore mail di conferma.

1

1) L’attaccante invia una mail di Phishing all’utente che vuole colpire inviando all’interno del corpo della mail (rigorosamente in HTML) una immagine contenente il seguente tag html <img src="http://www.sito.it/delaccount.jsp?go=true&id=as713hsidj238" width="0" height="0">

23

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

1) L’attaccante invia una mail all’utente sfruttando l’ingegneria sociale e lo induce a cliccare su di un link corrotto che punta ad una pagina HTML appositamente creata presente sul sito web da lui controllato.

1

Web Server dall’attaccante

Clickjacking• Questo genere di attacco sfrutta la possibilità di sovrapposizione degli oggetti offerta dalla tecnologia CSS (Cascading Style Sheets)

utilizzando javascript o Iframe per permettere di redirigere un Click effettuato da una pagina html ad un’altra all’insaputa dell’utente.

• L’Hacker/Cracker in questo esempio sfruttando la tecnica del Clickjacking e l’igegneria sociale per far effettuare il click «Like» su una pagina facebook all’insaputa dell’utente sicuro che sta per rispondere alla domanda innocua fornita dal sito controllato dall’Hacker.

• Da tenere in considerazione che più è alto sarà lo Spam e più alto sarà il numero di attacchi avvenuti con successo.

Attaccante Utenti/e

2

Acquisizione sul browser dell’utente della pagina di Background

3

Acquisizione da parte del Browser dell’utente della pagina di Foreground

Viene caricata sul browser dell’utente la pagina HTML di Facebook in background sulla quale si vuole redirigere il click effettuato dall’utente.

Viene caricata sul browser dell’utente la pagina HTML proveniente dal sito dell’attaccante in Foreground che permette di catturare il click dell’utente.

24

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Utenti/e

1

1) L’attaccante invia una mail all’utente sfruttando l’ingegneria sociale e lo induce a cliccare su di un link corrotto.

Attaccante

Tab Nabbing• Questo genere di attacco si basa sull'idea che una scheda del Browser Web sia immutabile e usa il forte richiamo visivo di un'icona.

• Il tutto parte da una mail di phishing nel quale si invita a cliccare su un link, la pagina si apre e mostra un contenuto piacevole all’utente come ad esempio immagini pornografiche, l’utente non chiude il tab ma continua la navigazione con altri tab già aperti.

• Cambiato TAB del browser la pagina malevola cambia icona e soprattutto contenuto presentando ad esempio la form contraffatta del login a facebook o a Gmail o della banca On-Line del tutto identica all’originale.

• L’utente nel momento in cui ritorna sulla Tab sarà certo che la sessione di Facebook o Gmail o della sua banca sia scaduta e rieseguirà il login. Le credenziali verranno depositate un un server remoto controllato dal phisher mentre verrà effettuato il redirect alla Home page del sito autentico sul quale si rieffettuava il login.

Web Server dall’attaccante

2

2) Richiesta/Ricezione pagina contraffatta

3) Viene caricato il terzo Tab con un sito gradevole all’utente.

4) L’utente cambia TAB e non chiude il terzo tab. Ora il terzo Tab si trasforma caricano un sito contraffatto del tutto identico al Login di Linkedin

5) La trasformazione è completata, anche l’icona del tab cambia e questo rassicura l’utente

5) L’utente ritorna sul terzo tab e rassicurato dall’icona e dal contenuto effettua il login certo che la sessione è scaduta.

6

6) Le credenziali vengono registrate sul server web controllate dall’utente ed effettuato il redirect al sito ufficiale.

25

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Attaccante Utenti/e

Open Redirect• Questo genere di attacco si basa su una vulnerabilità del codice applicativo che permette (senza una validazione dell’imput) il redirect verso

siti contraffatti.

• Nell’esempio riportato il tutto parte da un messaggio di Spam o Phishing nel quale l’utente viene invitato ad accedere a www.Google.com su una determinata pagina affetta da Open Redirect. Tale pagina che non gestisce la validazione dell’input permette all’utente di accedere ad un server contraffatto ed inserire le sue credenziali di accesso a Google certo che questo sia il verso sito.

2

2) Viene richiesta la pagina sul server di Google, ma tale pagina affetta da opne Redirect rimanda l’utente al sito contraffatto controllato dall’Attaccante.

1

1) L’attaccante invia una serie di mail di Phishing/Spam a degli utenti che apparentemente sembra arrivare da Google e quindi risulta affidabile. La mail lo avverte che le sue credenziali sono in scadenza. L’utente vede la url Http://www.google.com/gmail/login?url_redirect= www.sitocontraffatto.comCerto della sua provenienza clicca sul link che rimanda a Google.

Web Server dall’attaccante

4

4) Il sito contraffatto mostra la pagina esattamente uguale a quella di Google riportando l’accesso user/password. A questo punto L’utente digita le credenziali che verranno registrate sul sito contraffatto pronte ad essere utilizzate dall’attaccante.

3

3) Il redirect inviato dalla pagina di Google affetta da Open Redirect permette al Browser dell’utente di caricare il contenuto del sito contraffatto

26

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Tecniche di Attacco finalizzate al Blocco del sistema

27

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Classificazione

Queste tecniche vengono praticate verso una data organizzazione o verso uno specifico servizio e consistono nel praticare azioni che come fine ultimo hanno il blocco parziale o totale di un servizio oppure praticare azioni distruttive verso il sistema attaccato.

Ddos/DrDos• DNS, SNMP, NTP, chargen e RADIUS

(tecniche che usano le carenze del protocollo udp)

• Gaming server attacks Dos

• Syn & Ping flood • Smurf• Fork Bomb o Wabbit in generale

• Inizialmente questi attacchi venivano praticati da hacker per mostrare il dissenso verso specifiche organizzazioni o per ragioni di fede, scuola o pensiero. Oggi il fenomeno vista l'attenzione e la gravità dei danni provocati è utilizzato da reti di cracker assoldati da altre organizzazioni o anche come cyber-guerra a tutti gli effetti (vedi blocco di internet del ?????)

• Numeri del fenomeno : fonte Arbor Network :

28

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

• Questo genere di attacco (nell’esempio un Reflaction and Amplification DNS che sfrutta la vulnerabilità Open Resolvers dei DNS) si basa sull’invio ad un server (oggetto dell’attacco) di una quantità di traffico/richieste maggiore di quanto sia in grado di gestire abitualmente.

• Il Botmaster (Cracker che ha il controllo della BotNet) avvia con dei comandi da remoto la Botnet (sistemi/device infetti da malware) la quale genererà un traffico anomalo che collasserà il server di destinazione incapace di gestire le numerose richieste pervenute.

• La tecnica Mostrata è un DrDOS e consiste nello sfruttare delle vulnerabilità di sistemi mal configurati (in questo caso DNS) per generare del traffico anomalo (Amplification) e rediretto verso il target oggetto dell’attacco (Reflection e IP Spoofing).

DDOS : DNS, SNMP, NTP, chargen e RADIUS

Descrizione Attacco di Reflection & Amplification

Fattore Amplificazi

one

DNS X 102

Realizzabile sfruttando tutti i DNS che presentano un servizio di Open Resolver. Su Internet sono oltre 30 milioni i server Unix o Windows che hanno queste caratteristiche.

CHARGEN X 18E’ un servizio esposto da molti sistemi Unix. Alla ricezione di un datagramma viene restituita una risposta contenente un numero casuale di caratteri (max 512).

SNMP X 7SNMP è un protocollo applicativo utilizzato da un gran numero di device (router, switch, server, printer, modem, video- camere, telefoni, apparati di rete, sensori di temperatura e allarmistica elettronica).

NTP X 44Network Time Protocol (NTP) è utilizzato per sincronizzare l'orologio dei computer, attraverso una rete distribuita di sistemi "campione« attestati su Internet e in genere di libero utilizzo

Utenti

DNS (Affetti da Open Resolver)

Target

4) L’utente non raggiunge il target a causa della saturazione delle risorse.

4

2) Richieste malformate provenienti dalla Botnet (IP Spoofing e Amplification) verso i vettori di attacco (DNS)

2

3

3) I DNS afflitti da Open Resolver contattano il target (Oggetto dell’attacco DrDos) amplificando l’attacco.

BotMaster

Server comprome

sso

Botnet Infetta da Malware

1

1) Il BotMaster attiva la Botnet definendo una serie di parametri tra i quali i criteri di amplificazione.

29

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

• Questo genere di attacco di Denial of Service denominato SYN flood sfrutta la capacità di un server di allocare risorse prima ancora di aver stabilito una corretta connessione con il client (TCP three-way handshake). Sostanzialmente il Clinet invia la richiesta SYN al sistema e chiude la connessione, il server alloca risorse per gestire la connessione prima di aver ricevuto il messaggio di ACK (Acknowledgment number) da partre del client Client.

• L’attacco consiste nell’attivare un flooding di richieste SYN (primo messaggio del three way handshake inviato dal client) al server da colpire senza mai inviare l’ACK (terzo messaggio del three way handshake inviato dal client) oppure tramite l’IP Spoofing procedere a falsificare l’indirizzo IP nel messaggio di SYN di modo che il server invierà la richiesta SYN-ACK (secondo messaggio del three way handshake inviato dal server) ad un’altra macchina nella rete e quindi saturare le risorse hardware e software del server attaccato.

Syn

Attacante

Target vulnerabile ad attacco Syn

1) L’attaccante utilizza un programma o uno script capace di procedere in un attacco syn, nel nostro caso utilizzeremo il programma Hping3 su piattaforma Linux e attiva il flooding verso il server attaccato.

1

2) Flusso anomalo di richieste SYN con indirizzo IP falsificato che inondano il server attaccato.

2

Utenti

2) L’utente non raggiunge il sito web a causa della saturazione della RAM e della CPU.

3

Server compromesso

30

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Router

3

3) Processata la richiesta i gateway invieranno il flusso dati di risposta al server target di fatto saturando le sue capacita di interconnessione con la rete.

• Questo genere di attacco di Distribuited Denial of Service si basa nell’invio di pacchetti ICMP di tipo ECHO_REQUEST contraffatti (contenenti l’ip del target da attaccare) a degli apparati di rete che inoltrando in broadcast tali richieste alle macchine interconnesse inoltrano la risposta alla vittima amplificando l’attacco.

• Anche se questo attacco oggi è molto mitigato a causa di apparati moderni che disabilitano il broadcasting è ancora possibile su reti non correttamente configurate. I software disponibile a tale scopo (dapprima solo su piattaforma Linux) come porting di codice sono presto approdati anche su piattaforma Windows.

Smurf

Attacante

Target

Utenti

2) L’utente non raggiunge il sito web a causa della saturazione della RAM e della CPU.

4

1

1) L’attaccante invia una richiesta di Ping al Router falsificando il suo indirizzo IP riportando quello del server da attaccare

2) Il router invia in Broadcasting la richiesta a tutti i Gateway interconnessi che riporterà come mittente l’IP della vittima

2

Server compromesso

31

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

1

1) L’attaccante ha già a disposizione una shell sul server oggetto dell’attacco.Provvede ad incollare una Bash o scrive un semplice programma in C di Fork Bomb e lo esegue

#include <unistd.h>int main(void) { while(1) { fork(); } return 0; }

• Questo genere di attacco di Denial of Service denominato Fork Bomb si basa su un Malware di tipo Wabbit . Il principio è che ogni elaboratore ha la possibilità di eseguire un dato numero di processi utilizzando una data quantità di CPU e di memoria.

• Normalmente questo attacco può avvenire tramite un Malware appositamente creato ospitato all’interno di un trojan oppure lanciato da un attaccante su un server da colpire una volta penetrato sul sistema.

Fork Bomb

Attacante

Target vulnerabile ad attacco Syn

Utenti

3) L’utente non raggiunge il sito web a causa della saturazione della RAM e della CPU.

3

2) Il server attiva il processo che a sua volta, lanciando processi figli, in modo recursivo consuma tutte le capacità elaborative.

2Server

compromesso

32

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Grandezza Botnet Tipologia di attacco

da 15 a 30 Piccolo sito

da 250 a 280 Medio sito

da 750 a 800 Sito di grandi dimensioni

da 2000 a 2500 Sito di grandi dimensioni con protezione anti DDoS

da 4500 a 4700 Diversi siti che utilizzano una protezione anti DDoS

da 15000 a 20000 Per mettere OffLine qualsiasi sito con qualsiasi protezione anti DDoS

DDoS, Una minaccia in costante aumento

Gli attacchi DDoS, in particolar modo gli attacchi che utilizzano le tecniche DNS, SNMP e NTP stanno diventando una concreta minaccia ai servizi online.

Mentre scrivo questo articolo, gli Hacker/Cracker stanno organizzando servizi online di vendita «al dettaglio» di attacchi Ddos per una quantità inverosimile di Gigabit di banda.

1. Sviluppano droni controllabili a distanza sempre più sofisticati, configurabili, leggeri e difficilmente rintracciabili dagli utenti finali nei loro computer infetti.

2. Aggiungono Droni alle Botnet per permette di rendere più sofisticati e debilitanti gli attacchi. Ogni drone aggiunto è denaro. Questo spiega perché al primo posto della graduatoria degli Spam c’è la distribuzione di Malware.

3. Sviluppano Interfacce Web per il controllo a distanza della Botnet e per il reporting.4. Sviluppano Siti con offerte Ddos permettendo all’utente di scegliere il numero dei droni coinvolti, la portata

dell’attacco (in Gigabit) consigliando l’utente sul corretto servizio da richiedere sulla base dell’obiettivo da colpire e poi pagare di conseguenza.

Siamo di fronte ad un nuovo Business che vede da una parte chi crea Botnet e vende attacchi Ddos e dall’altra chi rincorre (Come al solito) e cerca di proteggersi da questa minaccia alla portata di tutti.

Merchandising e volumi venduti

33

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Si tratta di un collettivo di hacktivist, i quali intraprendono azioni di cyber protesta sotto l'appellativo fittizio di “Anonymous”.

Dal 2008 in avanti si sono resi protagonisti di una serie molto lunga di attacchi DDoS che hanno avuto luogo anche in Italia.

Operation NO TAV

1-3-2012

www.torinopiupiemonte.comwww.comune.torino.itwww.comune.vercelli.itwww.consiglioregionale.piemonte.it www.csipiemonte.itwww.provincia.to.itwww.provincia.torino.itwww.regione.piemonte.it

4-3-2012

www.torino-lione.itwww.Itf-sas.comwww.governo.it

10-3-2012www.trenitalia.com

Operation GREEN RIGHT

16-4-2013 18-4-2013 22-4-2013www.oltoffshore.com

17-4-2013www.oltoffshore.comwww.minambiente.itwww.eni.itwww.enel.it

www.minambiente.itwww.sorgenia.itwww.edison.it

www.comune.livorno.itwww.asaspa.itwww.portolivorno.itwww.grimaldi-lines.comwww.comune.rosignano.itwww.oltoffshore.itwww.minambiente.itwww.enel.itwww.eni.comwww.portodigioiatauro.itwww.consiglioregionale.calabria.it

7-5-2013www.enigreenpower.it

5-8-2013

www.irenambiente.itwww.irenergia.itwww.oltoffshore.itwww.saipem.com

Esempi di «Operation» realizzate tramite sequenze di attacchi DDOS di durata a volte considerevole. Nel 2012, Enel è stata oggetto di 155 anomalie di traffico corrispondenti ad oltre 130 ore di attacco di DDoS.

DDoS e Anonymous

34

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Zero Day Attak & APT

35

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Zero-day Attak

Gli attacchi Zero-Day sono vulnerabilità note ad una piccola cerchia di cracker che vengono utilizzati fino a quando un "giorno zero" vengono classificati e riconosciuti (ad esempio il noto heartbleed) e quindi prodotte patch di sicurezza per la risoluzione della vulnerabilità

Gli aggressori si riuniscono in gruppi utilizzando forum/mailing list di modo da scambiarsi e condividere questo genere di informazioni. I cracker ricercano in continuazione nuove vulnerabilità in quanto l’esserne in possesso permette di utilizzarle a fini illeciti per un tempo variabile prima della loro scoperta e classificazione.

Dagli Zero-Day Attack è difficile difendersi dato che la vulnerabilità non è ancora nota e non esistono patch di sicurezza da attivare per proteggersi. Ne consegue che più è lungo il tempo nel quale gli aggressori possono utilizzare la vulnerabilità sconosciuta più sarà alto il numero di attacchi andati a buon fine sulle vittime colpite.

36

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

APT (Advanced Persistent Threat)

Questo genere di attacchi (spinti da interessi di tipo politico, sociale o finanziario) è il più sofisticato e pericoloso.

La differenza tra un normale attacco e un APT è che gli aggressori non sono venuti per rubare dati e quindi andare via poco dopo, gli aggressori sono venuti per rimanere e controllare i sistemi per molto tempo come nel caso di NetTraveler, APT che nasce nel 2004 e si evolve fino al 2013.

Si tratta di attacchi sofisticati, determinati e coordinati che partono quasi sempre dall’ingegneria sociale (mail di Spam/Phishing) ma combinano una moltitudine di tecniche di attacco per raggiungere l’obiettivo oltre alla progettazione di nuove tecniche o Malware appositamente studiato.

Gli attacchi APT sono attacchi studiati che di solito si articolano nel seguente percorso di attacco :

Attack : A questo punto l’attacco è alla sua conclusione, l’attaccante preleva i dati dalle piattaforme di interesse e li sottrae con costanza senza farsi accorgere.

Scouting : Raccolta informazioni sulle vulnerabilità dei sistemi presenti nella rete dell’organizzazione per conoscere le piattaforme e il loro utilizzo

Installazione : Espansione delle breccia verso altri sistemi o client per permettere di ottenere una piattaforma di attacco differenziata controllabile dall’esterno.

Penetrazione : Attacco mirato che consente di aprire una prima breccia dalla quale poi propagare l’attacco verso il centro dell’organizzazione.

Preparazione : Raccolta delle informazioni necessarie per condurre l’attacco, Nominativi dei dipendenti, profili internet, ecc…

37

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Mitigare le vulnerabilità analizzate

38

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

• Di seguito vengono riassunte le vulnerabilità utilizzate nelle tecniche di attacco viste in precedenza in relazione alla criticità relativa. Viene riportato sinteticamente come risolvere tali vulnerabilità mitigandone il rischio.

Vulnerabilità Mitigazione del rischio Critico

Port Scanning & Data Sniffing

Utilizzare sempre protocolli cifrati nelle comunicazioni ed eliminare i servizi non necessari all’erogazione della piattaforma. Marginale

Information Disclosure Disabilitare le pagine non necessarie all’erogazione del servizio e disabilitare dove possibile (su tutti i servizi presenti) il Banner grabbing. Marginale

Code Injection Effettuare sempre una validazione degli input a livello di codice prima di farli processare dall’applicazione Rilevante

Path Traversal Eseguire costantemente il Patching Management del server Web e dell’Application Server e NON far puntare la directory Home del sito web nel FileSystem del sistema operativo. Evitare il più possibile il passaggio dei parametri tramite metodo GET

Rilevante

Man in The Middle Eseguire sempre protocolli cifrati con chiavi di cifratura superiore a XX bit Rilevante

Cross Site Scripting Persistente

Effettuare sempre una validazione degli input a livello di codice (utilizzando librerie per la sanitizzazione dell’input come in ambito .NET il namespace System.Web.Security.AntiXss ed Owasp AntiSamy oppure in java il package org.apache.struts.validator.ValidatorPlugIn messo a disposizione da Struts. E’ possibile anche utilizzare opportuni firewall applicativi) prima di farli processare dall’applicazione.Evitare dove possibile l’uso di AJAX e l’uso dei redirect.Inoltre utilizzare Scanner del codice come ad esempio W3af (Open Source) o HP Fortify o Acunetix.

Rilevante

Cross Site Scripting NON Persistente

Vedi Cross Site Scripting PersistenteRilevante

Mitigazione delle vulnerabilità

39

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Tecnica di Attacco Mitigazione del rischio Critico

Open Redirect 1. Limitare reindirizzamenti a siti esterni.2. Consentire il reindirizzamento solo ad siti in una white-list.3. Bloccare tutti i reindirizzamenti incondizionatamente.

Rilevante

Cross-site Request Forgery

Aumentare la consapevolezza degli utenti.Utilizzare nelle applicazioni prima dell’esecuzione delle richieste dei codici di conferma come captcha, ID, Token o User/Password.Abilitare il controllo sull’header HTTP del campo referer tramite applicazione o server web per essere certi che la pagina precedente (che ha fatto richiesta) sia appartenente al nostro sito.

Rilevante

Exploit Proteggere i Client e i Server (ad esempio le infrastrutture di posta elettronica) con opportuni software di rilevazione di malware e mantenere le firme aggiornate.

RilevanteRootkit

Ddos : DNS, SNMP, NTP, chargen e RADIUS

Affidarsi a Service Provider che garantiscono soluzioni anti DDOS per la difesa di minacce DDOS. Arbor Network fornisce la soluzione Peakflow (anomaly detection, che rileva le anomalie del traffico rispetto a un comportamento “normale” della rete) che si è guadagnata negli ultimi anni ottima reputazione oppure service provider come ad esempio OVH.Inoltre sono disponibili moltissimi software /configurazioni (come Dynamic IP Restrictions Extension per IIS di Microsoft) che permettono un controllo sulle connessioni in ingresso bannando gli IP che risultano inviare messaggi non corretti.

Rilevante

Ddos : Syn

Rilevante

Fork Bomb Configurare il sistema operativo per permettere il lancio da parte di un processo di un determinato numero di Sotto processi. In ambiente Unix modificare i parametri del file /etc/security/limits.conf, in particolare nproc che descrive il numero massimo di processi da attivare.

Rilevante

Mitigazione delle vulnerabilità

40

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

La Cyber Security

41

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Rischio = Di perdere dati Aziendali

Minaccia *Di possibile intrusione sui sistemi

VulnerabilitàQuantità presenti sui sistemi,

Minaccia VulnerabilitàRischio

La sicurezza dei dati è un tema che deve stare a cuore ad ogni dipendente a prescindere dalla funzione aziendale e dal ruolo che rivestite in azienda.

Quando si subisce una violazione, non importa se questa sia stata fatta da un criminale che ruba i dati sensibili e li rivende all’esterno o banalmente è un dipendente che perda una chiavetta USB con documenti riservati, è l’azienda a pagarne tutte le conseguenze.

Il concetto di Rischio

42

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

La «Cyber Security»

Con il termine Cyber Security si intende un insieme di tool, policy, concetti, linee guida, Gestione del Rischio e Assurance che vengono utilizzati in concerto per proteggere una determinata organizzazione e che consenta una sicurezza efficace nel tempo.

Molte organizzazioni si affidano agli amministratori dei sistemi per trovare le soluzioni più adeguate per proteggersi ma proteggersi non è limitarsi ad installare un software di sicurezza.

La sicurezza dei sistemi critici NON deve essere affidata solo a soluzioni tecnologiche, ne consegue che la Sicurezza oggi ha necessità di un approccio industriale fortemente legato ai processi, sistemico e deve essere «strutturale».

43

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Le Priorità

1. Consapevolezza : Un utente con la corretta cultura sugli argomenti della sicurezza non inserirebbe mai una password predicibile sugli account utilizzati nei sistemi aziendali. E’ la prima cosa sulla quale occorre lavorare. La consapevolezza del rischio è la prima mitigazione da mettere in campo.

2. Gestione del Rischio : Il rischio va valutato, gestito e monitorato. Occorre un processo di gestione che permetta la risoluzione delle vulnerabilità, Audit e Assessment mirati e verifiche in campo che permettano di definire rientri sulle carenze individuate.

3. Tecnica : La sicurezza cambia molto velocemente perché le minacce costantemente si rinnovano. La progettazione delle applicazioni e la loro gestione è fondamentale per la mitigazione del rischio. Progettare bene equivale ad assicurare i propri dati da accessi illeciti.

4. Policy e procedure : Regolamentare tramite Policy, Procedure e linee guida aiuta e definire le politiche organizzative in termini di sicurezza e aiuta ad accrescere la consapevolezza.

I dati come abbiamo detto più volte sono il bene più prezioso delle applicazioni. Una Sicurezza robusta si ottiene dall’unione di 4 approcci al rischio quali :

Awareness

Gestione del Rischio

Tecnologia

Policy e procedure

44

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

• Campagne di sensibilizzazione : Strutturare corsi di formazione (di diverso grado e complessità sulla base dei ruoli aziendali come ad esempio video esplicatiivi sulle vulnerabilità) che permettano di istruire il personale interno ed esterno all’utilizzo corretto dei sistemi informativi. Pensare ad un programma di sensibilizzazione distribuito nel tempo e non a corsi (anche se di lunga durata) senza aggiornamenti.

• Strutturare Feedback e questionari : Per monitorare l’apprendimento dei corsi effettuati, strutturare questionari di Feedback che permettano di conoscere il grado di consapevolezza del personale.

• Creare una intranet sulla Sicurezza Digitale : Dovranno essere pubblicate tutte le pillole necessarie a dettagliare i rischi e le difese dalle minacce informatiche, fornire spazi di discussione e blob su argomenti relativi la sicurezza digitale. Ne esistono già on line come ad esempio il Google Safety Center.

• Comunicazione preventiva : Sensibilizzare i dipendanti anche tramite l’ausilio di gadget come Tappetini, Mouse, adesivi (ovviamente sempre tenendo in considerazione una comunicazione accattivante) oltre che a newsletter, tutorial o promemoria. Da tenere in considerazione che l’umorismo su tematiche di sicurezza aumenta notevolmente il messaggio e può aiutare il tentativo di educare e sensibilizzare gli utenti.

• Definizione di regole d’oro : Definire un manifesto della sicurezza aziendale da distribuire in azienda composto da semplici regole dirette e prive di interpretazione che permettano di dire ciò che è possibile da ciò che non è possibile fare. Distribuire il manifesto in occasini di start-up di progetti o simili.

Awareness (Consapevolezza)

Indipendentemente dagli investimenti tecnologici, sono sempre gli utenti che determinano il reale livello di sicurezza di una azienda.

Le cinture di sicurezza, il casco una volta non le metteva nessuno. Oggi siamo consapevoli del rischio e sono parte integranti dei nostri gesti comuni.

La consapevolezza "awareness" del rischio informatico è una qualità indispensabile da «inijettare» e mantenere viva nel DNA degli Addetti informatici che gestiscono i sistemi aziendali e più in generale ai dipendenti.

Dobbiamo lavorare per permettere che tutti percepiscano la sicurezza come parte integrante del loro quotidiano lavoro. Questo si può ottenere nei seguenti modi :

45

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

• Identificazione del Rischio : Si propone di misurare i «rischi potenziali» ovvero quanto una organizzazione è esposta a probabili eventi dannosi.

• Valutazione del rischio : Una volta identificato e misurato il rischio si procede ad analizzare la possibilità di accadimento di un determinato rischio informatico identificandone le cause e fornendo dettagli per procedere al relativo rientro. La valutazione del rischio dovrebbe essere effettuata almeno una volta ogni 2 anni su un determinato sistema.

• Formalizzazione dei rientri : Gli analisti sulla base della valutazione del rischio effettuata definiscono opportuni Remediation-Plan descrivendo modalità di rientro e tempi formalizzando il loro contenuto con le funzioni coinvolte che procederanno alla presa in carico e alla lavorazione delle anomalie riscontrate.

• Gestioni dei rientri: I Remediation-Plan ufficializzati verranno monitorati costantemente per rivalutare il rischio residuo di un determinato sistema sulla base dei rientri effettuati.

• Follow-Up di controllo : Sulla base dei rientri effettuati si procede a valutare in campo tramite Assessment/Audit la reale risoluzione delle anomalie riscontrate.

La Gestione del rischio è un processo continuo e graduale tramite il quale si stima e si misura il rischio identificandone la probabilità di accadimento e si procede nel trattarlo per ottenerne la mitigazione o il totale superamento.

Deve affrontare sistematicamente tutti i rischi che circondano le attività fatte nel passato, nel presente e soprattutto nel futuro

La Gestione del rischio

Identificazione del rischio

Analisi del rischio

Valutazione del rischio e

Formalizzazione

Gestione dei rientri

Follow-up di controllo

E’ una disciplina in costante evoluzione ed esistono diverse concezioni e definizioni dei suoi contenuti. Si prende spesso in considerazione l’approccio basato sullo standard ISO/IEC 27001:2005 o 2013 «Information Technology Security Techniques» che definisce un approccio olistico, compresi gli aspetti tecnici, economici, strategici, organizzativi e giuridici.

Di solito un processo di gestione del Rischio è articolato nelle seguenti Macro fasi :

46

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

• Gestire il nuovo diversamente dal vecchio : fare scuola e «state of art» sul nuovo andando oltre a quanto consigliato dalle linee guida internazionali (Verrà analizzato in una slide successiva)

• Predilige una gestione infrastrutturale delle credenziali : Implementare soluzioni di accesso non locali alle macchine ma infrastrutturali (LDAP, Kerberos, ecc…)

• Patching Management: Prevedere il Patching Management cadenzato su ogni strato software • Gestire password complesse : Come visto nell’Hardening, le password ad oggi sono un «point of faliure»

da non sottavolatura. Applicare policy restrittive maggiori di quanto consigliato nelle linee guida internazionali, eliminare le password di default, permette di ridurre di molto le intrusioni.Inoltre non dovranno essere presenti credenziali in chiaro ma sempre criptate con algoritmi di Hashing robusti (Ad esempio B-Crypt(10) o Sha512).

La Tecnologia

Anche se la consapevolezza è il primo tra le priorità aziendali in termini di sicurezza, la tecnica permette di inserire una mitigazione del rischio qualora la «consapevolezza» possa venir meno.

Ovviamente maggiore è la complessità aziendale e maggiori saranno le difficoltà nel mettere in atto misure tecniche di mitigazione efficaci.

Di seguito alcune indicazioni per ridurre il rischio :

47

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Un sistema in campo da 5 anni non può essere sicuro come un sistema nato oggi in quanto 5 anni fa i requisiti di sicurezza erano totalmente differenti da quelli di oggi e le tecniche di attacco meno raffinate.

La Gestione del rischio deve prevedere sia la mitigazione del rischio sui sistemi «in esericizio» ma anche requisiti di sicurezza attualizzati sui sistemi «in delivery». Un sistema nuovo deve nascere sicuro, l’implementazione dei requisiti di sicurezza sul nuovo costa meno e risulta più efficace.

1. Limitare i sistemi operativi e i middleware : Definire a livello di prodotti una quantità limitata di Sistemi operativi e middleware da utilizzare (Ad esempio Suse Linux, Windows 2008 Server e Solaris). Definire per ogni sistema operativo delle line guida di configurazione sicura.

2. Limitare i linguaggi di programmazione da utilizzare : Una web application può essere scritta in centinaia di linguaggi differenti ed ogniuno potrebbe utilizzare differenti Application server e web server di supporto. Standardizzare i linguaggi di programmazione utilizzabili (ad es. soltanto Java e Microsoft.NET).

3. Attivare lo sviluppo sicuro del codice : Uno sviluppo industriale che contempli la scansione del codice e l’introduzione nei requisiti di sistema anche i requisiti si sicurezza (ad es. Sensitive date Exposure, Broken Authentication and Session management , Missing Function Level Access Control, ecc…).

4. Patching Management: Chi progetta un’applicazione deve prevedere il Patching Management cadenzato su ogni strato software riducendo al minimo gli impatti sugli applicativi.

5. Prediligere il running su Hypervisor : la virtualizzazione tramite la clonazione delle Virtual Machine introduce una standardizzazione nelle istallazioni dei sistemi operativi e dei Middleware.

1. Definire template già Hardenizzati (ad esempio con password policy attive, disabilitazione dei servizi non necessari, algoritmi di Hashing robusti ecc..) qualora sia necessaria una configurazione che introduca un rischio verrà effettuata sulla base di specifiche esigenze del sistema che dovranno essere tracciate nei profili dei sistemi.

2. Prevedere una set di template contenenti software preconfigurato e correttamente hardenizzato da utilizzare al bisogno sulla base delle tecnologie scelte nei punti 1 e 2 (Web Server, Database server, Application server, ecc..)

6. Inserire i requisiti di sicurezza insieme ai requisiti utente : i requisiti di sicurezza devono essere trattati insieme ai requisiti utente e prevedere durante la fase di sviluppo opportuni test di verifica che permettano di valutare l’implementazione effettuata.

7. Verifiche di pre-esercizio : effettuare Assessment mirati ai sistemi prima del rilascio in esercizio per comprendere quali requisiti di sicurezza sono stati parzialmente implementati. Tali non conformità dovranno essere inserite in appositi piani di rientro da trattare nel processo della gestione del rischio.

La Tecnologia (Gestire il nuovo diversamente dal vecchio)

48

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

La sicurezza informatica è fatta anche da principi imprescindibili che devono essere rispettati per rendere sicuri i sistemi informativi.

Per far questo occorre definire delle «Politiche di sicurezza» e declinare opportune procedere e linee guida che regolamentino e soddisfino i principi espressi nelle policy. Tali Policy e procedure dovranno tenere conto della Governance aziendale, della Compliance a Leggi nazionali e internazionali.

Le Policy e Procedure

• Le policy e le procedure si distinguono in :• Policy Generali : Indirizzate a tutto il personale aziendale come ad esempio la policy sulla gestione e

complessità della password e dell’utilizzo della rete Wi-Fi oppure della Posta elettronica.• Policy Specifiche : Regolamentano precisi ambiti aziendali o un determinato gruppo di personale.• Procedure di alto livello : Descrivono a macro passi il processo da utilizzare in un contesto

organizzativo.• Procedure Operative : Procedure che descrivono minuziosamente (senza dare nulla per scontato) il

processo da adottare per raggiungere un determinato obiettivo.

• Le policy e procedure devono essere il più possibile :• Semplici : e quindi efficaci sia al contesto che alla lettura. Utilizzare quindi un linguaggio fruibile e

diagrammi di flusso per descrivere il processo nel modo più appropriato al contesto organizzativo.• Attualizzate : Oltre a contenere un codice di protocollo, una funzione e una data di emissione,

dovranno essere riviste con cadenza periodica per consentirne il giusto aggiornamento.• Pubbliche : Dovranno essere disponibili in un repository ufficiale accessibile a tutti e la nuova

emissione dovrà essere indirizzata alle funzioni utilizzatrici per ogni singolo aggiornamento.

La stesura di questi regolamenti deve naturalmente accordarsi con le leggi vigenti e particolare attenzione va rivolta al rispetto delle normativa nel campo del diritto del lavoro, della regolamentazione sulla privacy e delle leggi che sanzionano i reati informatici.

49

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Allegati

50

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Glossario

Security Treath : Minaccia informatica. APT : Advanced Persistent Threat, attacchi mirati e persistenti NSA : (National Security Agency); Agenzia governativa americana che si occupa della sicurezza in ambito nazionale e del

monitoraggio per tutelarne l'integrità da attacchi di qualunque tipo. NIST : (National Institute of Standards and Technology); agenzia governativa americana che ha emesso uno standard di

sicurezza informatica che pone l'accento sull'importanza dei controlli di sicurezza e sul modo di implementarli. SoGP : lista completa emessa dall'ISF (Information Security Forum) delle migliori pratiche per la sicurezza delle

informazioni. Standard ISO 27001 : normativa internazionale emessa nel 2005 che fornisce i requisiti di un Sistema di Gestione della

Sicurezza. Standard ISO 27002 : normativa emessa nel 2007 che stabilisce i criteri di sicurezza quali integrità, riservatezza e

disponibilità dei dati. ISACA : (Information Systems Audit and Control Association); Fonte centralizzata di informazioni su IT governance. Owasp : (Open Web Application Security Project); Progetto open-source che ha lo scopo di divulgare le principali

vulnerabilità di sicurezza riscontrate nel web. Hacker : colui che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli

vengono imposte. Cracker : colui che si ingegna per eludere blocchi imposti da qualsiasi software al fine di trarne profitto. Lamer : è un aspirante cracker con conoscenze informatiche limitate. Phisher : cracker che utilizza il phishing come tecnica di ingegneria sociale Backdoor : punto di passaggio tramite il quale è possibile prendere il controllo di un dato sistema. Sniffing : Tecnica che permette di intercettare i pacchetti in transito da una sorgente ad una destinazione. Trojan Hourse : Software che appaiono apparentemente utili ma che nascondono al loro interno Malware di diversa

natura. Rootkit : Software che permette di avere diritti amministrativi su un dato computer senza avere autorizzazioni specifiche

da parte di altri Amministratori. Buffer Overflow : tecnica che prevede l'invio di dati superiori a quanto consentito Dos :(Denial of service); tecnica di negazione del servizio da parte di un dato sistema.

51

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Glossario

DDos : (Distributed denial of service); tecnica distribuita di attacco Dos. DrDos : (Distributed Reflaction denial of service); tecnica distribuita e amplificata di attacco Dos. Exploit : Tecnica che permette di compromettere un sistema sfruttando anomalie dei software. Ingegneria sociale : tecnica che prevede la raccolta di informazioni di un contatto per carpirne la sua fiducia. Keylogger : Software che permette il logging di ogni azione effettuata dagli utenti di un sistema in modo trasparente. Phishing : Tecnica di ingegneria sociale per indurre una vittima a consegnare ai phisher dati sensibili come ad esempio

credenziali di accesso o carte di credito. Port scanning : Tecnica di rilevazione delle porte attive di un computer per permettere attacchi mirati. Virus : Software appartenente alla categoria dei Malware che ha la capacità di infettare file e cartelle eseguendo copia

di se stesso spesso all'insaputa dell'utente. Spoofing : inpersonificare una altro utente attraverso la falsificazione dei dati (ip address, mac address, credenziali

applicative, ecc..) Wabbit : deriva da Rabbit, Malware che attacca le risorse del sistema duplicando in continuazione la propria immagine

su disco e attivando in memoria nuove istanze di se stesso. Botnet : insieme di computer compromessi e infetti da Malware che possono essere comandati a distanza per condurre

ad esempio attacchi Ddos. BotMaster : Cracker che comanda la Botnet. Three-way handshake : metodo di avvio e convalida connessione dei pacchetti tcp-ip Zombie : computer compromesso all'insaputa dell'utente da Malware in maniera da permettere il controllo parziale o

completo da parte di un cracker. Data Breach : Attacco informatico che ha comportato una compromissione dei dati di un Sistema US-CERT : (The United States Computer Emergency Readiness Team); CERT Americano. CERT : (Computer Emergency Response Team); organizzazioni finanziate da Università o Enti Governativi che hanno

come scopo la raccolta di segnalazioni su incidenti informatici e potenziali vulnerabilità del software. FIRST : (Forum of Incident Response and Security Teams); consorzio di CERT.

52

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Glossario

SANS Institute : (SysAdmin, Audit, Networking, and Security); organizzazione dedicata alla divulgazione ed educazione della sicurezza informatica.

OneGuard online : sito internet che fornisce consigli per aiutare gli utenti ad essere al riparo da frodi internet. Microsoft Online Safety : sito internet che divulga informazioni sulla sicurezza del pc, sulla privacy digitale e sulla

protezione on line. Cyber-Intelligence : Capacità di rilevare ed elaborare notizie di interesse al fine di prevenire, rilevare e contenere le

minacce. Cyber-Security : Insieme di tool, policy, concetti, linee guida, Gestione del rischio e Assurance che vengono utilizzati in

concerto per proteggere una determinata organizzazione. Cyber-Space : spazio condiviso tra infrastrutture informatiche interconnesse, hardware, software, dati, utenti, nonché

relazioni logiche stabilite tra essi. Requisiti Cogenti : Requisiti che devono essere implementati perché stabilite da opportune leggi. Common Vulnerabilities and Exposures : E’ un dizionario di vulnerabilità e falle di sicurezza note pubblicamente.

È mantenuto dalla MITRE Corporation e finanziato dalla National Cyber Security Division Best Practice : Si intendono in genere le esperienze più significative, o comunque quelle che hanno permesso di

ottenere migliori risultati, relativamente a svariati contesti Payload : Reverse Shell : Backdoor che permette l’accesso tramite prompt dei comandi con diritti di amministratore (ad esempi

ssh) ad un server remoto. Mentre la «Direct Shell» consente il collegamento da chi attacca al server vittima, la «Reverse shell» è il Server vittima che fornisce la shell all’attaccante.

Pass-Through : Tecniche che consentono di Percorre/transitare attraverso un Firewall. Trojan : (In inglese Cavallo di Troia) Programma apparentemente utile installato spesso dall’utente stesso che contiene

al proprio interno Malware di diversa natura. Worm : (In inglese verme) Si tratta di un Malware che ha la capacità di autoreplicarsi anche senza legarsi strettamente

con un programma eseguibile molto spesso distribuito come allegato in una mail. Siem : Security Information and Event Management (SIEM) in italiano si può tradurre come Sistema di Gestione delle

Informazioni e degli eventi di Sicurezza

53

Fisherman’s Tale– Easy Security Threat 12 Agosto 2014

Glossario

Sensitive date Exposure : Chi progetta un’applicazione web deve proteggere i dati sensibili degli utenti come codici di carte di credito, utenze, ecc…

Broken Authentication and Session management : Non inserire Password in chiaro sul file System, quindi su shell, batch e codice applicativo. Le password devono essere sempre registrati con algoritmi di Hashing robusti (Sha512, Bycrypt, ecc…)

Missing Function Level Access Control : Differenziare le autorizzazioni tra Utenza anonima, Amministratore o Addetto IT. Definire profili di accesso con differenti privilegi su tutti i layer applicativi

54