Frodi aziendali e sicurezza IT-1 © Claudio Telmon - 2001 Frodi aziendali e sicurezza IT Giornata di studio AIEA Roma, 21 novembre 2001 Claudio Telmon [email protected]

Frodi aziendali e sicurezza IT-1Frodi aziendali e sicurezza IT-1© Claudio Telmon - 2001

Frodi aziendali e sicurezza ITFrodi aziendali e sicurezza IT

Giornata di studio AIEAGiornata di studio AIEARoma, 21 novembre 2001Roma, 21 novembre 2001

Frodi aziendali e sicurezza ITFrodi aziendali e sicurezza IT

Giornata di studio AIEAGiornata di studio AIEARoma, 21 novembre 2001Roma, 21 novembre 2001

Claudio TelmonClaudio Telmon

[email protected]@telmon.org


Gli obbiettivi della sicurezzaGli obbiettivi della sicurezzaGli obbiettivi della sicurezzaGli obbiettivi della sicurezza

RiservatezzaRiservatezza IntegritàIntegrità DisponibilitàDisponibilità Autenticazione e log?Autenticazione e log? Cosa significa “proteggere il Cosa significa “proteggere il

sistema informativo”?sistema informativo”?


Principi fondamentaliPrincipi fondamentaliPrincipi fondamentaliPrincipi fondamentali

Valutazione del rischioValutazione del rischio Fiducia (utenti, sistemisti…)Fiducia (utenti, sistemisti…) CompartimentazioneCompartimentazione Ridondanza e difesa “in Ridondanza e difesa “in

profondità”profondità”


Cosa è cambiato nei sistemi?Cosa è cambiato nei sistemi?Cosa è cambiato nei sistemi?Cosa è cambiato nei sistemi?

Il confine fra il proprio sistema Il confine fra il proprio sistema informativo e l’esterno è informativo e l’esterno è sempre più sfumatosempre più sfumato

I sistemi sono in perenne I sistemi sono in perenne “beta test”“beta test”

Le tecnologie, i protocolli e i Le tecnologie, i protocolli e i servizi ancheservizi anche


Cosa è cambiato negli Cosa è cambiato negli attacchi?attacchi?

Cosa è cambiato negli Cosa è cambiato negli attacchi?attacchi?

Tempi brevi, sia fra la Tempi brevi, sia fra la scoperta della vulnerabilità e scoperta della vulnerabilità e l’attacco, sia nella l’attacco, sia nella realizzazione dell’attaccorealizzazione dell’attacco

AnonimatoAnonimato Irraggiungibilità Irraggiungibilità

dell’attaccantedell’attaccante Metodicità delle ricerche dei Metodicità delle ricerche dei

bersaglibersagli


Strumenti automaticiStrumenti automaticiStrumenti automaticiStrumenti automatici

La competenza necessaria per La competenza necessaria per l’attacco è racchiusa nello l’attacco è racchiusa nello strumentostrumento

Il comportamento delle Il comportamento delle singole persone è più criticosingole persone è più critico

Persone senza competenze Persone senza competenze tecniche possono diventare tecniche possono diventare pericolosepericolose

Possono cambiare le tipologie Possono cambiare le tipologie di attaccantidi attaccanti


Strumenti per la protezione dei Strumenti per la protezione dei sistemisistemi

Strumenti per la protezione dei Strumenti per la protezione dei sistemisistemi

Firewall: controllano il perimetro di Firewall: controllano il perimetro di una rete selezionando il traffico una rete selezionando il traffico ammessoammesso

IDS: esaminano il traffico o le IDS: esaminano il traffico o le attività e “riconoscono” quelle attività e “riconoscono” quelle illegittimeillegittime

VPN: cifrano e autenticano il traffico VPN: cifrano e autenticano il traffico fra due sottoretifra due sottoreti

Strumenti per l’autenticazione: Strumenti per l’autenticazione: certificati, smart card, biometricicertificati, smart card, biometrici

ACL, log, integrity check…ACL, log, integrity check…


La sicurezza non è un prodottoLa sicurezza non è un prodottoLa sicurezza non è un prodottoLa sicurezza non è un prodotto

AssesmentAssesment

dell’esistentedell’esistente

Analisi/Analisi/

progettazioneprogettazione

RealizzazioneRealizzazioneGestione/Gestione/

manutenzionemanutenzione

VerificaVerifica


Limiti dei prodottiLimiti dei prodottiLimiti dei prodottiLimiti dei prodotti

I prodotti non sono tutti uguali, ma è I prodotti non sono tutti uguali, ma è difficile capire in cosa differisconodifficile capire in cosa differiscono

I report dei prodotti non sono mai I report dei prodotti non sono mai esaustivi, e non danno risposte si/no: esaustivi, e non danno risposte si/no: vanno interpretativanno interpretati

Per quanto “trasparenti”, interferiscono Per quanto “trasparenti”, interferiscono sempre con le altre attività; la sempre con le altre attività; la configurazione è spesso un compromessoconfigurazione è spesso un compromesso

Alla fine ci sono sempre dei canali Alla fine ci sono sempre dei canali “fidati”; chi è cosa c’è all’altra “fidati”; chi è cosa c’è all’altra estremità?estremità?


Cosa un firewall non può fare Cosa un firewall non può fare Cosa un firewall non può fare Cosa un firewall non può fare Senza una politica, un firewall Senza una politica, un firewall

serve a pocoserve a poco I firewall servono a poco contro I firewall servono a poco contro

insider che possono comunicare insider che possono comunicare con Internetcon Internet

Il content filtering è spesso più Il content filtering è spesso più una buzzword che una realtàuna buzzword che una realtà

Un firewall commerciale non può Un firewall commerciale non può sapere cosa va la vostra sapere cosa va la vostra applicazione basata su Webapplicazione basata su Web


Cosa un IDS non può fareCosa un IDS non può fareCosa un IDS non può fareCosa un IDS non può fare Gli IDS di solito se la cavano male con gli Gli IDS di solito se la cavano male con gli

attacchi nuovi, a causa dell’equilibrio fra attacchi nuovi, a causa dell’equilibrio fra falsi positivi e falsi negativifalsi positivi e falsi negativi

Gli IDS se la cavano male con gli slow Gli IDS se la cavano male con gli slow scan e attacchiscan e attacchi

Gli IDS risentono dei picchi di traffico e Gli IDS risentono dei picchi di traffico e della frammentazionedella frammentazione

Gli IDS non riconoscono il traffico Gli IDS non riconoscono il traffico illegittimo che sembra legittimoillegittimo che sembra legittimo

Un IDS commerciale non può prevedere Un IDS commerciale non può prevedere il traffico della vostra applicazione su il traffico della vostra applicazione su WebWeb


Cosa una VPN non può fareCosa una VPN non può fareCosa una VPN non può fareCosa una VPN non può fare

Le VPN non proteggono i servizi Le VPN non proteggono i servizi pubblici (ma si possono usare per pubblici (ma si possono usare per gestirli)gestirli)

Se un nodo è compromesso (un Se un nodo è compromesso (un laptop, un PC di un sistemista) la laptop, un PC di un sistemista) la VPN è spesso un ottimo canale VPN è spesso un ottimo canale per raggiungere le risorse criticheper raggiungere le risorse critiche

Gli IDS e le VPN lavorano male, e Gli IDS e le VPN lavorano male, e anche i firewall possono avere anche i firewall possono avere problemiproblemi


Patching: una continua Patching: una continua rincorsarincorsa

Patching: una continua Patching: una continua rincorsarincorsa

Nuovi “bachi” vengono scoperti Nuovi “bachi” vengono scoperti continuamente in sistemi continuamente in sistemi operativi e applicazionioperativi e applicazioni

Sfruttarli è spesso immediatoSfruttarli è spesso immediato Correggerli richiede giorni, Correggerli richiede giorni,

applicare le patch applicare le patch immediatamente non è immediatamente non è possibile o opportuno possibile o opportuno

C’è sempre una finestra di C’è sempre una finestra di vulnerabilitàvulnerabilità


MonitoraggioMonitoraggioMonitoraggioMonitoraggio

Se il firewall non protegge la Se il firewall non protegge la nostra applicazione Webnostra applicazione Web

L’IDS non scopre i nuovi L’IDS non scopre i nuovi attacchiattacchi

La VPN non protegge i servizi La VPN non protegge i servizi pubblicipubblici

E le patch arrivano tardiE le patch arrivano tardi

Niente sopperisce al Niente sopperisce al monitoraggio e controllo dei monitoraggio e controllo dei

sistemisistemi


““You can’t solve social You can’t solve social problems with software”problems with software”

- M. J. Ranum- M. J. Ranum

““You can’t solve social You can’t solve social problems with software”problems with software”

- M. J. Ranum- M. J. Ranum


Social engineeringSocial engineeringSocial engineeringSocial engineering

Consiste nel convincere qualcuno Consiste nel convincere qualcuno a svolgere per noi un’operazione a svolgere per noi un’operazione che non dovrebbe essere fattache non dovrebbe essere fatta

Non è possibile proteggersi con Non è possibile proteggersi con soli strumenti tecnicisoli strumenti tecnici

Funziona bene nelle grosse Funziona bene nelle grosse organizzazioniorganizzazioni

Esempi:Esempi: I Love YouI Love You accesso alle passwordaccesso alle password


La politica di sicurezzaLa politica di sicurezzaLa politica di sicurezzaLa politica di sicurezza Deve essere chiara a chi la deve Deve essere chiara a chi la deve

rispettarerispettare L’utente si deve sentire tutelato dalla L’utente si deve sentire tutelato dalla

dirigenza se rispetta la politicadirigenza se rispetta la politica Non può essere demandata al Non può essere demandata al

sistemista come semplice progettazione sistemista come semplice progettazione “tecnica”, perché comporta delle scelte “tecnica”, perché comporta delle scelte e dei costi che influenzano tutto il e dei costi che influenzano tutto il sistema informativosistema informativo

La politica deve essere realistica e La politica deve essere realistica e rispettatarispettata


AutenticazioneAutenticazioneAutenticazioneAutenticazione

Serve ad associare agli utenti Serve ad associare agli utenti i diritti sulle risorsei diritti sulle risorse

Serve a sapere chi ha svolto Serve a sapere chi ha svolto quali operazioniquali operazioni

A volte è un requisito di leggeA volte è un requisito di legge Quanto protegge i nostri Quanto protegge i nostri

sistemi?sistemi? Quanto protegge i sistemi pubblici?Quanto protegge i sistemi pubblici? E se un utente autenticato viola i E se un utente autenticato viola i

sistemi cosa facciamo?sistemi cosa facciamo?


Strumenti per l’autenticazioneStrumenti per l’autenticazioneStrumenti per l’autenticazioneStrumenti per l’autenticazione Si autentica:Si autentica:

qualcosa che si sa: PIN, password, codici variqualcosa che si sa: PIN, password, codici vari qualcosa che si ha: smart card, tessere ecc.qualcosa che si ha: smart card, tessere ecc. qualcosa che si è: valori biometriciqualcosa che si è: valori biometrici

Scopo di questi strumenti è sempre Scopo di questi strumenti è sempre di legare l’informazione di di legare l’informazione di autenticazione al soggetto, in autenticazione al soggetto, in modo che non possa essere modo che non possa essere falisficata, duplicata o trasferitafalisficata, duplicata o trasferita

Si tende ad associare più di un tipoSi tende ad associare più di un tipo


Autenticazione con chiave Autenticazione con chiave pubblicapubblica

Autenticazione con chiave Autenticazione con chiave pubblicapubblica

Si basa sulla segretezza della Si basa sulla segretezza della chiave pubblicachiave pubblica

L’utente non ricorda la chiave L’utente non ricorda la chiave pubblica, ma un PIN per pubblica, ma un PIN per sbloccarlasbloccarla

A seconda di dove è memorizzata A seconda di dove è memorizzata la chiave, l’autenticazione si la chiave, l’autenticazione si riduce quindi alla segretezza del riduce quindi alla segretezza del PIN e ad un sistemaPIN e ad un sistema

Con utenti “roaming” l’effetto è Con utenti “roaming” l’effetto è peggiorepeggiore


Smart card e sistemi biometriciSmart card e sistemi biometriciSmart card e sistemi biometriciSmart card e sistemi biometrici

L’uso della smart card L’uso della smart card garantisce, salvo garantisce, salvo manomissioni, che la chiave manomissioni, che la chiave privata non sia diffusa, ma privata non sia diffusa, ma non garantisce che la smart non garantisce che la smart card non sia consegnata a card non sia consegnata a un’altra persona o rubataun’altra persona o rubata

I sistemi biometrici danno più I sistemi biometrici danno più garanzie?garanzie?


01100110001

01100110001

01100110001

I dati sono datiI dati sono datiI dati sono datiI dati sono dati


Cosa si firma?Cosa si firma?Cosa si firma?Cosa si firma?

Usare la chiave senza rubarlaUsare la chiave senza rubarla Il caso Quicken: nel gennaio 1997 un Il caso Quicken: nel gennaio 1997 un

gruppo di hacker tedeschi (CCC) ha gruppo di hacker tedeschi (CCC) ha dimostrato in televisione di essere in dimostrato in televisione di essere in grado di far eseguire delle operazioni grado di far eseguire delle operazioni bancarie senza conoscere il PIN….. bancarie senza conoscere il PIN….. Con la firma digitale sarebbe cambiato Con la firma digitale sarebbe cambiato qualcosa?qualcosa?

L’inaccessibilità della chiave L’inaccessibilità della chiave non garantisce contro l’abusonon garantisce contro l’abuso


AAAAAAAAA

BBBBBB

Cosa si firmaCosa si firmaCosa si firmaCosa si firma


Assumere l’identità altruiAssumere l’identità altruiAssumere l’identità altruiAssumere l’identità altrui Se il PC di un utente è compromesso, Se il PC di un utente è compromesso,

l’utente (interno o esterno all’azienda) l’utente (interno o esterno all’azienda) può essere impersonatopuò essere impersonato finora i worm hanno usato la rubrica solo per finora i worm hanno usato la rubrica solo per

diffondersi...diffondersi...

Si tratta invece dei sistemi meno Si tratta invece dei sistemi meno controllaticontrollati

Non sono attacchi comuni per hacker Non sono attacchi comuni per hacker generici, e quindi sono spesso generici, e quindi sono spesso trascuratitrascurati

Sarebbero adatti per frodi e attacchi Sarebbero adatti per frodi e attacchi miratimirati

Documents

Frodi aziendali e sicurezza IT-1 © Claudio Telmon - 2001 Frodi aziendali e sicurezza IT Giornata di studio AIEA Roma, 21 novembre 2001 Claudio Telmon [email protected]