Copyright © 2011 - The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.

The OWASP Foundation

OWASP

http://www.owasp.org

L’evoluzione delle minaccie e degli impatti hacking e malware per il settore finance

Marco Morana Global Industry CommitteeOWASP Foundation

Security Summit Milano21-22 Marzo 2012

OWASP

Conoscete OWASP ?

2

OWASP

Agenda Della Presentazione

PARTE I: L’evoluzione degli scenari di computer e internet hacking, attacchi ed

agenti di minaccia

PARTE II: Analisi delle minaccie di hacking malware e degli impatti per il settore finance

PARTE III: Evoluzione ed efficacia delle contromisure e criteri per la mitigazione dei

rischi di hacking-malware

3

OWASP 4

PARTE I: L’evoluzione degli scenari di internet hacking, attacchi ed agenti di

minaccia

OWASP

Evoluzione delle minaccie hacking-malware

5

Lo scenario delle minaccie e’ cambiato negli ultimi 10 anni:• Ieri: attacchi isolati di script kiddies (adolescenti) con

obbiettivi di diffondere virus fare denial of service e diventare famosi

• Oggi: attacchi di gangs organizzate nella vendita di cybercrime. Obbiettivi sono soprattutto profitti dal furto dati di identita’, dal furto carta di credito per vendita e contraffazione, frodi online, denial of service ai siti per motivi politici/hacktivism

SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape

OWASP

Profili “threat agents” degli anni 1990-2000

6

Anno 1994 Vladimir Levin aka ArkanoID trasferisce 10 milioni di $ da citibank nel suo conto corrente by hacking X.25 financial networks

Anno 2000 Onel Deguzman autore del virus ILOVEYOU, diventa famoso attaccando circa 10 milioni di computers nel mondo., danno estimato 5.5 miliardi $ per disinfestare iil virus

Anno 2000 Michael Calce alias MAFIABOY All’eta di 15 anni, mette offline i siti di yahoo, ebay, cnn, amazon. Etrade disconnesso per 90 minuti usando file sharing software

Anno1999 Jooseph aka “c0mrade” James installa sniffer e intercetta le passwords US Dept of Defense

OWASP

Threat agents famosi degli anni 2001-2010

7

Anno 2004 Svem Jascham autore del Sasser worm con un impatto stimato di 10 milioni di host infettati

2007 Albert Gonzales ruba circa 130 milioni di acconti di carte di credito dai negozi Hannaford e TJX Maxx e dai Bancomats nei negozi SevenElevenUsa SQL Injection per installare malware sniffers e dati fra POS e credit card processors (e.g. Hearthland Payment Systems) Rivende i numeri di carta e PINs nel mercato hacker underground (Darknet) e realizza profitti dalla contraffazione delle carte via Bancomats

Anno 2006 Jeanson James Ancheta primo autore di botnet in affitto a spammers ed hacker, infetta e controlla in totale 1/2 milione di computers inclusi quelli della Defense Information Systems Agency (DISA)

Anno 2010 la corte di giustizia di NY sentenzia 37 hackers colpevoli di frodi bancarie su scala globale per 3 milioni di $ usando malware Zeus

OWASP

Scenari di minaccia per siti financial: hackivism

8

OWASP

Principali incidenti per volume di perdita dati

9

OWASP

Gli incidenti di data breach piu’ recenti (2011)

10

Sony (PlayStattion Network) Furto di dati di carta di credito e password for 100,000 users

Epsilon, sito con emails di AMEX, VISA, Retailers, Banche, 60 milioni di emails compromesse

RSA, servers del sistema di authenticazione a chiavetta (SecureID token), milioni di clienti impattati hanno dovuto sostituire le chaviette

HBgary Federal, vendetta del gruppo Anonymous, emails di clienti CEOs pubblicati su un server in Russia

Stratofor, strategic intelligence-reporting per clienti, 860K emails e 75K numeri di carta di credito dei clienti

OWASP 11

Ok, let’s take a step back..

OWASP 12

PARTE II: Attacchi di hacking : analisi degli minaccie e degli impatti

OWASP

Quali sono le cause e gli effetti degli incidenti ?

13

OWASP

Principali cause degli incidenti con perdita di dati ( Fonte Verizon, 2011)

14

La maggioranza sono causate da hacking e diffusione di malware

Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/

OWASP

Tipologia di dati compromessi da attacchi malware-hacking (Fonte Verizon 2011)

15

Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/

I tipi di dati piu’ a rischio sono carte di credito seguiti dai dati di authenticazione

OWASP

Cause delle perdite di dati personali e tipologia di attacco (Fonte datalossDB)

16

Cause No1 e’ hacking (32%) dall’esterno (53%)

Source: DataLossDb.org http://www.datalossdb.org

OWASP

Gli effetti di hacking e malware: tipologia di frodi online

17

Account takeover transferimenti di denaro online via ACH/wire

Card non present fraud :pagamenti online con dati carte rubate

Contraffazione carte credit/debit e frodi via eATM/ABM, POS

Cattura dati di carta e sensibili con Man In the Middle e Man in the Browser e installazione di data sniffers nei canali POS

Carding validazione dati di carta/debito usando online form

Application fraud: Usare dati compromessi online per aprire un conto corrente, applicare per una carta di credito (application fraud)

Attacchi e scams cross-borderMoney-laundering usando money mules Phishing e vishing ai fine di catturare

dati di carta (CVV, PINs, ACC)

OWASP

Le tecniche malware/hacking per frodi online banking: account takeover

Attacchi diretti al client (browser, PC) Sfruttano le vulnerabilita’ del browser (Iframes, Flash,

Plugins) e del client PC (no AV/AS) privilegi administrator Social engineering e phishing attraveso vari canali (email,

facebook etc) Attacchi diretti al sito online banking

Sfruttamento di vulnerabilita’ del sito (e.g. autenticazione login, debole, SQL injection, XSS, Iframe injection, Invaldiated Redirection)

Mancansa di misure server di filtering/white-listing, monitoring eventi (e.g. no WAF, no SIEM, no blocking of malicious cookies/HTTP agents)

Attacchi diretti alle transazioni di pagamento/ bonifico Sfruttano mancanza di verifica origine della transazione

(e.g. call back, verificazione tranazione su canale indipendente)

Sfruttano mancanza autentificazione esterna (e.g. OOBA, SMS/voice, maker/checker dual person authorization) 18

OWASP

Esempio di attacco sul browser utente: Man In The Browser

19

OWASP

Il ciclo delle frodi online usando malware (fonte FBI)

20

Malware coder scrive il codice oer attaccare la banca (crimware)Hacker compra il

crimeware o lo prende in affitto

Utente online banking PC viene infettato con il baking malware

Banking malware cattura i dati in tastiera ed online

Hacker si collega al server , accede al computer della vittima e si collega all conto online con i dati del server

Hacker si collega all conto online con i dati del server Hacker fa un bonifico ad

un conto terzo (money mule)

Bonifico viene trasferito al conto del hacker

Source: of the image from http://en.wikipedia.org/wiki/Zeus (Trojan_horse) The Zeus Fraud Scheme

OWASP

Zeus banking malware: tracking dei siti controllati dai fraudsters (dati in real time dal sito abuse.ch)

21Source: https://zeustracker.abuse.ch/statistic.php

OWASP

La lista prezzi dati carte e log-ins, hacking tools e servizi cybercrime (fonte PandaLabs 2011)

22

Source PANDA labs: http://ww.pandasecurity.com

OWASP 23

Quale attenzione dedichiamo alla possibilita’ di futuri incidenti ?

OWASP

Monetizzazione del possibile impatto di una perdita di dati per un exploit di vulnerabilita’ di SQL injection

24

1. Calcolare la probabilita’ dell’attaccoAssumi i seguenti dati statistici:- il 11 % delle perdite dei dati avviene online

(dati datalossDB) - il 19 % degli attacchi sfruttano SQL injection

(dati del WHID)Probabilita’ e’ 2 % di perdere dati online per un attacco di SQL injection

2. Calcolare il valore dell’ asset (i dati)- 400 Euro per record (500-2000 as range)- Sito con 300,000 utenti registrati onlineValore dell asset = 120 milioni di euro

Liabilita di attacco SQL injection = Probabilita X Valore Asset = 2.4 milioni di euro o 80 Euro/customer

OWASP

Monetizzazione del possibile impatto di hacking-malware account take over ?

25

1. Calcolare la probabilita’ dell’attaccoAssumi i seguenti dati statistici:- in UK circa 100,000 PC sono infetti da malware Zeus (Trusteer) su una numero di PC in UK di 36 milioni la probabilita e’ 0.2 %Probabilita’ e’ 0.2 % di frode online a causa di un attacco malware Zeus

2. Calcolare il valore della transazione wire/ACH- valore massimo di transfer via ACH online : 5,000 £- numero di clienti gold con depositi medi ( > 10,000 £): 50,000

Valore della transazione (cumulativo) = 250 milioni di £Liabilita di account take over online = Probabilita X Valore Asset = 500,000 £ o 10 £/customer

OWASP

Monetizzazione degli impatti per frodi con uso di dati di carte compromesse o contrafatte

26Source: Australian Payments Clearing Association (APCA) referred inhttp://lockstep.com.au/blog/2011/09/27/au-cnp-fraud-cy2010

OWASP 27

Impatti tangibili (monetary) ed intangibili (percezione)

Source: DataLossDb.org http://www.datalossdb.org

OWASP 28

PARTE III: Evoluzione delle delle misure di prevenzione e riduzione del rischi e

criteri di investimento

OWASP

Technologie di oggi

Technologie di ieri

Nuove technologie offrono nuove opportunita di attacco e nuove sfide per la sicurezza

29

OWASP

Nuove technologie, nuovi rischi e percezioni

30

Source: http://www.newschannel5.com/story/15982718/high-tech-pickpockets-can-steal-credit-card-info

OWASP

Evoluzione delle misure di sicurezza vs. evoluzione delle minaccie alcuni esempi

31

Le frodi per contraffazione care sono diminute dal 2004-2006 ma sono autmentate dal 2006 in poi (*)

(*) Source http://www.cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf(**) Source FBI http://www.ic3.gov/media/annualreport/2009_IC3Report.pdf

2006 FFIEC stabilische che simple log-in non e’ piu sufficiente per transazioni a rischio (**)

2011 FFIEC stabilische nuove linee guida per mitigare il riischio malware/account take over

OWASP

Evoluzione della security governance negli ultimi 20 anni

32

Build Security In Maturity Model http://bsimm.com/

OWASP

Chi non evolve si addatta per paura FEAR UNCERTAINTIY incertezza o DOUBT dubbio Fear of failing audit/non

compliance => additional fines, restrictions and controls (e.g. SEC, PCI etc)

Fear of bad reputation => public disclosure of data breach of PII in most US states (SB1386)

Fear of lawsuits => fraud losses from private’s business and customers

Uncertainty on business impacts => Are we the target? How much money we loose from fraud incidents?

Doubts on risk mitigation measures => Not trusting our own security technology, people, processes

F

U

D

OWASP

Chi si evolve adotta application risk management (e.g. NIST, TM, FAST, OCTAVE, PASTA)

34

• Identify Business Objectives• Identify Security & Compliance

Requirements• Business Impact Analysis

1. Define Objectives

• Capture the boundaries of the technical environment

• Capture Infrastructure | Application | Software Dependencies

2. Define Technical Scope

• Identify Use Cases | Defin App Entry Points & Trust levels

• Identify Actors | Assets| Services | Roles| Data Sources

• Data Flow Diagramming (DFDs) | Trust Boundaries

3. Application Decomposition

• Probabilistic Attack Scenarios Analysis• Regression Analysis on Security Events• Threat Intelligence Correlation & Analytics

4. Threat Analysis• Queries of Existing Vulnerability Reports &

Issues Tracking • Threat to Existing Vulnerability Mapping Using

Threat Trees• Design Flaw Analysis Using Use & Abuse

Cases • Scorings (CVSS/ CWSS) | Enumerations

(CWE/CVE)

5. Vulnerability & Weaknesses Analysis

• Attack Surface Analysis• Attack Tree Development | Attack Library Mgt• Attack to Vulnerability & Exploit Analysis

using Attack Trees

6. Attack Modeling

• Qualify & quantify business impact• Countermeasure Identification & Residual

Risk Analysis• ID risk mitigation strategies

7. Risk & Impact Analysis

OWASP

Approccio application risk management applicato alle minaccie hacking-malware

35

Valutare le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurre frodi (transferimento non autorizzato di denaro)

Identificare le vulnerabilita’ (debolezze dell’applicazione) Errori nel design di autenticazione e session management; Vulnerabilita’ in garantire confidenzialita’ e integrity dei dati; mancanza di logs e di tracciabilita’ degli eventi e azioni degli hackers sui sistemi

Determinate l’impatto tecnico (compromissione dei controlli) By-passamento di authenticazione multi-fattore (Challenge/Questions, KBA, OTPs;) By-passamento logica di identificazione del client prima di autorizzare transazioni; Compromissione delle web forms al fine di ottenere dati dall’utente. Abuso session di autenticazione.

Determinare l’impatto per il business (perdita denaro) Perdite per Frodi/transferimento di denaro a mules; Perdita di data sensibili; Azioni legali per copertura danni account; Multe per non essere a norma con standards di sicurezza

OWASP

Quali criteri per la decisione dell’investimento in application security ?

36

1) “75% degli incidenti prende di mira applicazioni web”-

2) “Piu del 70% delle vulnerabilita’ sono a livello applicativo e non network”

3) “Ridurre le vulnerabilita nel codice/software del 50% porta ad un risparmio del 75% sul costo totale della rimediazione delle vulnerabilita’

1,2,3 Sources: Gartner

OWASP 37

Rimediare le vulnerabilita’ in di design e coding produce un risparmio del

Vantaggi economici della sicurezza “built into” nello sviluppo di software sicuro (SDLC)

OWASP

Criteri guida per investimenti in application security: la OWASP Appsec guide per CISOs

38

Source: https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs

OWASP 39

Q&Q U E S T I O N SA N S W E R S