27.9.2013 - Venezia - ISACA VENICE Chapter 1
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
I controlli di sicurezza
nell’online Banking
Gianluca Salvalaggio
Venezia, 27 settembre 2013
Soluzioni e sicurezza per applicazioni mobile e payments
27.9.2013 - Venezia - ISACA VENICE Chapter 2
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
I controlli di sicurezza
nell’online Banking
Minacce e contromisure
27.9.2013 - Venezia - ISACA VENICE Chapter 3
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Soluzioni e sicurezza per applicazioni mobile e payments
Consorzio Triveneto, azienda leader nei sistemi di pagamento a livello italiano da sempre all’avanguardia nello studio e nella speri-mentazione di nuove tecnologie nell’ambito dei pagamenti, è una realtà del Gruppo Bassilichi che opera prevalentemente nei campi della Monetica – con la gestione dei servizi POS e di Commercio Elettronico – e del Corporate Banking a supporto delle imprese.
SPONSOR DELL’EVENTO
Sponsor e sostenitori di ISACA VENICE Chapter
Con il patrocinio di
27.9.2013 - Venezia - ISACA VENICE Chapter 4
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Gianluca Salvalaggio
Responsabile della Sicurezza delle Informazioni Consorzio Triveneto S.p.A CISSP. Laureato in Ingegneria e in Informatica. > 10+ anni nel campo dell'Information Security > docente in corsi di Networking e Sicurezza Informatica
27.9.2013 - Venezia - ISACA VENICE Chapter 5
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
ABSTRACT
Vengono presentate le più diffuse MINACCE ai sistemi di Internet banking e si analizzano le principali misure di SICUREZZA adottate.
27.9.2013 - Venezia - ISACA VENICE Chapter 6
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Agenda
• Introduzione •Minacce •Contromisure •Conclusioni
27.9.2013 - Venezia - ISACA VENICE Chapter 7
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Internet Banking
Servizi di Internet Banking
• consultare il saldo di conto corrente
• operare sui mercati finanziari (trading, …)
• disporre bonifici
• pagamenti di bollette e ricariche telefoniche
• etc, etc. ….
Si dividono nei canali
• Retail (home/private): rivolto ai clienti privati
• Corporate: destinato alle aziende
27.9.2013 - Venezia - ISACA VENICE Chapter 8
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Internet Banking
http://www.thefreelibrary.com/Stanford+Federal+Credit+Union+Pioneers+Online+Financial+Services.-a017104850
Quando è nato?
• La prima banca che ha iniziato a fornire servizi di Internet Banking è stata la Stanford Federal Credit Union nel 1995.
• In Italia il fenomeno ha cominciato a diffondersi nel 1999.
Quanto è diffuso in Italia?
• Secondo una ricerca Eurostat (2012), solo il 37% degli “internauti” accede a servizi di online banking (la media UE è del 54%).
• Secondo il rapporto “Global Digital Market” (Assinform 2012), il 20% degli italiani accede a servizi di home banking (media UE ~ 40%).
http://epp.eurostat.ec.europa.eu/cache/ITY_PUBLIC/4-18122012-AP/EN/4-18122012-AP-EN.PDF
http://www.rapportoassinform.it/interna.asp?ln=3&sez=309
27.9.2013 - Venezia - ISACA VENICE Chapter 9
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Sicurezza dell’Internet Banking
Perché è importante la sicurezza nell’Internet Banking?
• Internet è un mondo virtuale parallelo
• Come si dice? “tutto il mondo è paese”
• Internet Banking = vengono gestiti SOLDI
• SOLDI = irresistibile opportunità per i criminali
27.9.2013 - Venezia - ISACA VENICE Chapter 10
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Sicurezza dell’Internet Banking
[1] https://blogs.rsa.com/now-registering-classes-cybercrime-u/
Chi sono questi nuovi criminali?
• Hacker? Naaa
• “Le parole sono importanti”, chiamiamoli (banking) cybercriminal:
commettono le frodi bancarie compromettendo il “sistema” Internet Banking.
si avvalgono di competenze “creative” ed estremamente avanzate [1]
sono ben organizzati
sono fortemente motivati: illeciti profitti
27.9.2013 - Venezia - ISACA VENICE Chapter 11
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Sicurezza dell’Internet Banking
Sistema Internet Banking:
• Client side: PC, smartphone, …
• Internet: protocolli di rete
• Bank side: server, applicazioni, …
Client side Internet Bank side
27.9.2013 - Venezia - ISACA VENICE Chapter 12
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Sicurezza dell’Internet Banking
• I cybercriminal cercano di sfruttare i punti deboli del sistema
Principio dell’anello debole. In tutti gli ambiti della Sicurezza Informatica, vale il seguente principio: la resistenza di una catena è determinata dalla resistenza dell’anello più debole.
27.9.2013 - Venezia - ISACA VENICE Chapter 13
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Sicurezza dell’Internet Banking
• Esempio: un’indagine dell’Università del Michigan del 2007 effettuata su 214 banche statunitensi, rivelava che il 47% dei siti conteneva il form di login all’interno di pagine insicure (non HTTPS).
Nel corso degli anni c’è stata una continua evoluzione
http://newswise.com/articles/view/542848/
• delle minacce
• delle contromisure messe in atto
• dell’attenzione verso la Sicurezza
27.9.2013 - Venezia - ISACA VENICE Chapter 14
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - client side
Le azioni che i cybercriminal cercano di mettere in atto sono principalmente due:
• furto delle credenziali (UserID/password/pwd dispositiva)
• compromissione della postazione di lavoro dell’utente (PC/mobile): infettarla con banking malware.
A tale scopo, le tecniche maggiormente utilizzate lato client sono
• phishing
• spear phishing
• watering-hole attack
27.9.2013 - Venezia - ISACA VENICE Chapter 15
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - phishing
Sfrutta una tecnica di social engineering: attraverso l'invio di e-mail che imitano la grafica della banca, si induce la vittima ad accedere a siti controllati dall’aggressore.
http://it.wikipedia.org/wiki/Phishing
Phishing: truffa via Internet attraverso la quale si inganna la vittima convincendola a fornire informazioni personali sensibili (password, PIN, …).
27.9.2013 - Venezia - ISACA VENICE Chapter 16
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - spear phishing
Spear phishing: evoluzione del phishing tradizionale (spam mail) che fa leva sulla familiarità e confidenza. La mail sembra proprio indirizzata alla vittima: contiene il suo nome ed altre info personali. Induce la vittima ad
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-spear-phishing-email-most-favored-apt-attack-bait.pdf
https://blogs.rsa.com/anatomy-of-an-attack/
aprire un file allegato, che infetterà il PC.
• la vittima “abbassa le difese” e apre l’allegato.
• è un attacco mirato
27.9.2013 - Venezia - ISACA VENICE Chapter 17
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - watering-hole attack
watering-hole: se l’attacco diretto risulta difficile, si opera in maniera diversa: • si individuano i siti più visitati dal target.
• si compromette qualcuno di questi siti
• si aspetta ….
• quando la vittima accede ad uno dei siti infetti, la sua postazione viene infettata (drive-by download)
27.9.2013 - Venezia - ISACA VENICE Chapter 18
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - attack vector
Obiettivo principale dei cybercriminal è infettare, con software maligno, la postazione di lavoro della vittima (PC/mobile). I principali vettori di attacco usati sono:
• file allegati nelle e-mail
• attacchi di tipo drive-by download
27.9.2013 - Venezia - ISACA VENICE Chapter 19
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - drive-by download
In un attacco drive-by download, un sito benigno viene compromesso in modo da ridirigere l’utente che vi accede verso siti maligni dai quali, in modo silente, viene scaricato il malware.
http://blogs.technet.com/b/security/archive/2011/12/08/what-you-should-know-about-drive-by-download-attacks-part-1.aspx
• Vengono sfruttate vulnerabilità del browser (plug-in, Java, Flash, …)
27.9.2013 - Venezia - ISACA VENICE Chapter 20
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - Exploit kit
Gli exploit kit sono appunto dei toolkit che, con attacchi di tipo drive-by download, sfruttano vulnerabilità software (spesso nel browser) per diffondere malware. Tra i vari exploit kit citiamo:
http://blogs.mcafee.com/mcafee-labs/styx-exploit-kit-takes-advantage-of-vulnerabilities
• Black Hole
• Styx
• CrimeBoss
• Nuclear
• Phoenix
27.9.2013 - Venezia - ISACA VENICE Chapter 21
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - Malware
Nel corso degli anni il cosiddetto banking malware è diventato sempre più sofisticato. Sono stati sviluppati appositi crimeware kit commercializzati nel black market.
• ZeuS
• SpyEye
• Citadel
• Carperb
• Perkele
• KINS
• Hesperbot
27.9.2013 - Venezia - ISACA VENICE Chapter 22
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - Malware
Le tecniche di attacco impiegate dal malware finanziario, hanno (in)seguito l’evoluzione dei meccanismi di sicurezza adottati dai sistemi di Internet Banking:
• Keylogging
• Form grabbing
• Video grabbing
• Webinject (MiTB)
attacchi contromisure
27.9.2013 - Venezia - ISACA VENICE Chapter 23
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - Webinject
Gli attacchi di tipo webinject sono estremamente sofisticati e seguono il paradigma Man in The Browser (MiTB).
• contromisure basate su codici OTP inseriti dall’utente sono inefficaci
• modificano le pagine HTML ricevute dall’utente (campi aggiuntivi nei form di autenticazione, riepilogo delle operazioni) e i dati inviati da quest’ultimo verso la banca (dati di una transazione). Il tutto in modo completamente trasparente.
27.9.2013 - Venezia - ISACA VENICE Chapter 24
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - Bank side
L’attacco al “sistema” Internet Banking sul fronte Banca si realizza in vari modi:
• Compromissione dei server attraverso i quali viene erogato il servizio (ad es. sfruttando vulnerabilità sw)
• Compromissione delle postazioni di lavoro della rete bancaria (ad es: utilizzando spear phishing).
• Insider
L’obiettivo principale di tali attacchi è il furto di informazioni (credenziali, …)
http://www.spamfighter.com/News-18473-Computers-of-St-Marys-Bank-Tainted-with-Malware.htm
27.9.2013 - Venezia - ISACA VENICE Chapter 25
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Minacce - Bank side II
A livello bank side, un altro punto attaccabile è l’applicazione web, sulla quale si basa il servizio. Vengono sfruttate vulnerabilità legate a come è stato scritto il codice. Alcuni esempi di attacchi sono:
• XSS (Cross site scripting)
• SQL injection
• CSRF (Cross site Request Forgery)
Spesso tali vulnerabilità vengono sfruttate con tecniche di phishing (verso l’utente).
https://www.whitehatsec.com/assets/WPstatsReport_052013.pdf
27.9.2013 - Venezia - ISACA VENICE Chapter 26
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Contromisure - client side
Le protezioni a livello client side sono completamente fuori dal controllo della banca. Le principali sono:
• “limitare la superfice di attacco”: ad es. rimuovere plug-in del browser non necessari.
• utilizzare software anti-malware
• mantenere TUTTO il software sempre aggiornato
• usare strumenti di protezione (es. EMET)
• navigare sicuri
• paranoid:
utilizzare postazioni dedicate
27.9.2013 - Venezia - ISACA VENICE Chapter 27
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Contromisure - Bank side (server)
Lato Banca bisogna adottare le principali misure di sicurezza:
• seguire un approccio “defence in depth”
• Firewall
• Web Application Firewall
• IDS/IPS
• HIDS (file integrity check)
• Patch management
• Vulnerability assessment (VA), pentest
• Monitoraggio degli eventi e delle minacce (SIEM).
27.9.2013 - Venezia - ISACA VENICE Chapter 28
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Contromisure - Bank side II (sviluppo)
La sicurezza del sistema Internet Banking passa ovviamente anche per la fase di sviluppo dell’applicazione:
• “baking in security”
• adottare un Secure SDLC
• code review
• Security testing (w3af, skipfish, Vega)
• Security best practices (es: OWASP)
NEVER TRUST USER INPUT
whitelisting vs blacklisting
………….
https://www.owasp.org/index.php/Category:OWASP_Guide_Project
http://www.nsa.gov/ia/_files/factsheets/TSA-13-1019-FS.pdf
27.9.2013 - Venezia - ISACA VENICE Chapter 29
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Contromisure - autenticazione
Il metodo di autenticazione costituisce la parte più critica del sistema; oltre alla coppia userID/password si utilizza un ulteriore meccanismo per autorizzare le disposizioni.
• password dispositiva, facilmente attaccabile con il semplice phishing.
• TAN (Transaction Authorization Number): codici one-time presi a caso da una lista; attaccabili con phishing.
• iTAN (indexed TAN)/grid cards: l’utente deve inserire il codice collocato nella posizione specificata dalla banca (es: D4); attaccabili con MiTB.
• Token OTP: attaccabili con MiTB
problema: il codice NON è legato ai dati della transazione.
27.9.2013 - Venezia - ISACA VENICE Chapter 30
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Contromisure - autenticazione II
Evoluzione: autenticazione a due canali (out of band - OOB)
• mTAN (mobile TAN) il codice OTP viene inviato via SMS dalla banca (con i dati della transazione).
il primo malware che ha attaccato tale sistema è stato ZitMo (Zeus in the Mobile) nel 2010.
la compromissione dello smartphone causa la redirezione dell’SMS.
http://howtosecure.com/zitmo-zeus-in-the-mobile-threatens-mobile-banking/
27.9.2013 - Venezia - ISACA VENICE Chapter 31
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Contromisure - autenticazione III
Evoluzione: autenticazione a due canali (out of band - OOB)
• Securecall: l’autorizzazione delle transazioni avviene chiamando, con cellulare abilitato, un numero verde e digitando il codice indicato dalla banca.
l’autenticazione è data dal numero di cellulare chiamante.
ad oggi non ci sono evidenze di compromissioni dello smartphone che sono riuscite ad aggirare il meccanismo.
27.9.2013 - Venezia - ISACA VENICE Chapter 32
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Contromisure - autenticazione IV
Evoluzione: autorizzazione “visuale”
• chipTAN (flickerTAN): si utilizza un device dedicato che “legge” dal monitor i dettagli della transazione (flicker code), li visualizza e indica all’utente il codice da inserire per l’autorizzazione.
• photoTAN: simile al precedente, ma “legge” i dati dal monitor attraverso lo smartphone (app dedicata)
nel 2012 Tatanga è riuscito ad attaccare tale sistema (trojan + social engineering).
http://www.trusteer.com/blog/tatanga-attack-exposes-chiptan-weaknesses
http://www.cronto.com/commerzbank-and-cronto-launch-phototan-for-secure-online-banking-transactions.htm
l’utilizzo dello smartphone è smart, ma è anche un punto di debolezza?
Autenticazione della transazione: il codice è associato ai dati della transazione.
27.9.2013 - Venezia - ISACA VENICE Chapter 33
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Contromisure - sistemi antifrode
Altro approccio: con i Sistemi Antifrode ci si mette a valle; si cerca di rilevare e bloccare la frode subito dopo che è stata commessa.
• richiedono la presenza di personale dedicato lato Banca (uff. antifrode)
• si utilizzano sistemi (backend-side) basati sull’analisi comportamentale
• apprendono pattern di comportamento degli utenti e a fronte di scostamenti segnalano “transazioni sospette”.
IBAN destinatario
IP sorgente
orario
firma del browser
eventuali blacklist
• Non sono infallibili …
27.9.2013 - Venezia - ISACA VENICE Chapter 34
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Contromisure - Normative
Negli ultimi anni anche a livello normativo e di organismi centrali si è posta l’attenzione sulla sicurezza informatica in ambito bancario (e non).
• nov 2008 - provvedimento del Garante sugli Amministratori di Sistema
• mag 2011 - provvedimento del Garante in materia di informazioni bancarie e di tracciamento delle operazioni bancarie
• mar 2013 - ABI Lab e Consorzio CBI pubblicano:
“Azioni di contrasto e prevenzione delle frodi … - Elementi di attenzione per le banche”
• Lo standard PCI-DSS (carte di credito) fornisce spunti interessanti
“Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dell’Internet Banking”
• monitoraggio, II fattore di autenticazione, VA e pentest periodici, ….
• policy di sicurezza, postazioni dedicate, formazione/awareness, controllo postazioni, …
27.9.2013 - Venezia - ISACA VENICE Chapter 35
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
CONCLUSIONI
Quella di contrasto alle frodi bancarie è una guerra continua: “you build a wall, the bad guys build a higher ladder”.
• Contromisure solo tecnologiche NON bastano: non esiste una soluzione definitiva (no silver bullett)
troppa sicurezza diventa “poco usabile”
malware: sempre di più e sempre più sofisticato
superficie di attacco allargata (drive-by attacks, …)
• Bisogna agire anche sulla componente “umana” (social engineering) security awareness
la sicurezza deve diventare parte integrante della user experience
27.9.2013 - Venezia - ISACA VENICE Chapter 36
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
CONCLUSIONI
Bisogna essere sempre più consapevoli che Internet NON è un “posto” sicuro; va posta la massima ATTENZIONE su ogni tipo di operatività: e-mailing, social networking, online banking, …
“Non è un posto per ingenui“ “Non è un paese per vecchi”
27.9.2013 - Venezia - ISACA VENICE Chapter 37
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Domande …
27.9.2013 - Venezia - ISACA VENICE Chapter 38
SICUREZZA NELL’ONLINE BANKING - G. SALVALAGGIO
Grazie per l’attenzione!
Gianluca Salvalaggio http://www.linkedin.com/in/salvalaggio [email protected]
Top Related