Upload
pellegrino-riva
View
217
Download
2
Embed Size (px)
Citation preview
Frodi aziendali e sicurezza IT-1Frodi aziendali e sicurezza IT-1© Claudio Telmon - 2001
Frodi aziendali e sicurezza ITFrodi aziendali e sicurezza IT
Giornata di studio AIEAGiornata di studio AIEARoma, 21 novembre 2001Roma, 21 novembre 2001
Frodi aziendali e sicurezza ITFrodi aziendali e sicurezza IT
Giornata di studio AIEAGiornata di studio AIEARoma, 21 novembre 2001Roma, 21 novembre 2001
Claudio TelmonClaudio Telmon
[email protected]@telmon.org
Frodi aziendali e sicurezza IT-2Frodi aziendali e sicurezza IT-2© Claudio Telmon - 2001
Gli obbiettivi della sicurezzaGli obbiettivi della sicurezzaGli obbiettivi della sicurezzaGli obbiettivi della sicurezza
RiservatezzaRiservatezza IntegritàIntegrità DisponibilitàDisponibilità Autenticazione e log?Autenticazione e log? Cosa significa “proteggere il Cosa significa “proteggere il
sistema informativo”?sistema informativo”?
Frodi aziendali e sicurezza IT-3Frodi aziendali e sicurezza IT-3© Claudio Telmon - 2001
Principi fondamentaliPrincipi fondamentaliPrincipi fondamentaliPrincipi fondamentali
Valutazione del rischioValutazione del rischio Fiducia (utenti, sistemisti…)Fiducia (utenti, sistemisti…) CompartimentazioneCompartimentazione Ridondanza e difesa “in Ridondanza e difesa “in
profondità”profondità”
Frodi aziendali e sicurezza IT-4Frodi aziendali e sicurezza IT-4© Claudio Telmon - 2001
Cosa è cambiato nei sistemi?Cosa è cambiato nei sistemi?Cosa è cambiato nei sistemi?Cosa è cambiato nei sistemi?
Il confine fra il proprio sistema Il confine fra il proprio sistema informativo e l’esterno è informativo e l’esterno è sempre più sfumatosempre più sfumato
I sistemi sono in perenne I sistemi sono in perenne “beta test”“beta test”
Le tecnologie, i protocolli e i Le tecnologie, i protocolli e i servizi ancheservizi anche
Frodi aziendali e sicurezza IT-5Frodi aziendali e sicurezza IT-5© Claudio Telmon - 2001
Cosa è cambiato negli Cosa è cambiato negli attacchi?attacchi?
Cosa è cambiato negli Cosa è cambiato negli attacchi?attacchi?
Tempi brevi, sia fra la Tempi brevi, sia fra la scoperta della vulnerabilità e scoperta della vulnerabilità e l’attacco, sia nella l’attacco, sia nella realizzazione dell’attaccorealizzazione dell’attacco
AnonimatoAnonimato Irraggiungibilità Irraggiungibilità
dell’attaccantedell’attaccante Metodicità delle ricerche dei Metodicità delle ricerche dei
bersaglibersagli
Frodi aziendali e sicurezza IT-6Frodi aziendali e sicurezza IT-6© Claudio Telmon - 2001
Strumenti automaticiStrumenti automaticiStrumenti automaticiStrumenti automatici
La competenza necessaria per La competenza necessaria per l’attacco è racchiusa nello l’attacco è racchiusa nello strumentostrumento
Il comportamento delle Il comportamento delle singole persone è più criticosingole persone è più critico
Persone senza competenze Persone senza competenze tecniche possono diventare tecniche possono diventare pericolosepericolose
Possono cambiare le tipologie Possono cambiare le tipologie di attaccantidi attaccanti
Frodi aziendali e sicurezza IT-7Frodi aziendali e sicurezza IT-7© Claudio Telmon - 2001
Strumenti per la protezione dei Strumenti per la protezione dei sistemisistemi
Strumenti per la protezione dei Strumenti per la protezione dei sistemisistemi
Firewall: controllano il perimetro di Firewall: controllano il perimetro di una rete selezionando il traffico una rete selezionando il traffico ammessoammesso
IDS: esaminano il traffico o le IDS: esaminano il traffico o le attività e “riconoscono” quelle attività e “riconoscono” quelle illegittimeillegittime
VPN: cifrano e autenticano il traffico VPN: cifrano e autenticano il traffico fra due sottoretifra due sottoreti
Strumenti per l’autenticazione: Strumenti per l’autenticazione: certificati, smart card, biometricicertificati, smart card, biometrici
ACL, log, integrity check…ACL, log, integrity check…
Frodi aziendali e sicurezza IT-8Frodi aziendali e sicurezza IT-8© Claudio Telmon - 2001
La sicurezza non è un prodottoLa sicurezza non è un prodottoLa sicurezza non è un prodottoLa sicurezza non è un prodotto
AssesmentAssesment
dell’esistentedell’esistente
Analisi/Analisi/
progettazioneprogettazione
RealizzazioneRealizzazioneGestione/Gestione/
manutenzionemanutenzione
VerificaVerifica
Frodi aziendali e sicurezza IT-9Frodi aziendali e sicurezza IT-9© Claudio Telmon - 2001
Limiti dei prodottiLimiti dei prodottiLimiti dei prodottiLimiti dei prodotti
I prodotti non sono tutti uguali, ma è I prodotti non sono tutti uguali, ma è difficile capire in cosa differisconodifficile capire in cosa differiscono
I report dei prodotti non sono mai I report dei prodotti non sono mai esaustivi, e non danno risposte si/no: esaustivi, e non danno risposte si/no: vanno interpretativanno interpretati
Per quanto “trasparenti”, interferiscono Per quanto “trasparenti”, interferiscono sempre con le altre attività; la sempre con le altre attività; la configurazione è spesso un compromessoconfigurazione è spesso un compromesso
Alla fine ci sono sempre dei canali Alla fine ci sono sempre dei canali “fidati”; chi è cosa c’è all’altra “fidati”; chi è cosa c’è all’altra estremità?estremità?
Frodi aziendali e sicurezza IT-10Frodi aziendali e sicurezza IT-10© Claudio Telmon - 2001
Cosa un firewall non può fare Cosa un firewall non può fare Cosa un firewall non può fare Cosa un firewall non può fare Senza una politica, un firewall Senza una politica, un firewall
serve a pocoserve a poco I firewall servono a poco contro I firewall servono a poco contro
insider che possono comunicare insider che possono comunicare con Internetcon Internet
Il content filtering è spesso più Il content filtering è spesso più una buzzword che una realtàuna buzzword che una realtà
Un firewall commerciale non può Un firewall commerciale non può sapere cosa va la vostra sapere cosa va la vostra applicazione basata su Webapplicazione basata su Web
Frodi aziendali e sicurezza IT-11Frodi aziendali e sicurezza IT-11© Claudio Telmon - 2001
Cosa un IDS non può fareCosa un IDS non può fareCosa un IDS non può fareCosa un IDS non può fare Gli IDS di solito se la cavano male con gli Gli IDS di solito se la cavano male con gli
attacchi nuovi, a causa dell’equilibrio fra attacchi nuovi, a causa dell’equilibrio fra falsi positivi e falsi negativifalsi positivi e falsi negativi
Gli IDS se la cavano male con gli slow Gli IDS se la cavano male con gli slow scan e attacchiscan e attacchi
Gli IDS risentono dei picchi di traffico e Gli IDS risentono dei picchi di traffico e della frammentazionedella frammentazione
Gli IDS non riconoscono il traffico Gli IDS non riconoscono il traffico illegittimo che sembra legittimoillegittimo che sembra legittimo
Un IDS commerciale non può prevedere Un IDS commerciale non può prevedere il traffico della vostra applicazione su il traffico della vostra applicazione su WebWeb
Frodi aziendali e sicurezza IT-12Frodi aziendali e sicurezza IT-12© Claudio Telmon - 2001
Cosa una VPN non può fareCosa una VPN non può fareCosa una VPN non può fareCosa una VPN non può fare
Le VPN non proteggono i servizi Le VPN non proteggono i servizi pubblici (ma si possono usare per pubblici (ma si possono usare per gestirli)gestirli)
Se un nodo è compromesso (un Se un nodo è compromesso (un laptop, un PC di un sistemista) la laptop, un PC di un sistemista) la VPN è spesso un ottimo canale VPN è spesso un ottimo canale per raggiungere le risorse criticheper raggiungere le risorse critiche
Gli IDS e le VPN lavorano male, e Gli IDS e le VPN lavorano male, e anche i firewall possono avere anche i firewall possono avere problemiproblemi
Frodi aziendali e sicurezza IT-13Frodi aziendali e sicurezza IT-13© Claudio Telmon - 2001
Patching: una continua Patching: una continua rincorsarincorsa
Patching: una continua Patching: una continua rincorsarincorsa
Nuovi “bachi” vengono scoperti Nuovi “bachi” vengono scoperti continuamente in sistemi continuamente in sistemi operativi e applicazionioperativi e applicazioni
Sfruttarli è spesso immediatoSfruttarli è spesso immediato Correggerli richiede giorni, Correggerli richiede giorni,
applicare le patch applicare le patch immediatamente non è immediatamente non è possibile o opportuno possibile o opportuno
C’è sempre una finestra di C’è sempre una finestra di vulnerabilitàvulnerabilità
Frodi aziendali e sicurezza IT-14Frodi aziendali e sicurezza IT-14© Claudio Telmon - 2001
MonitoraggioMonitoraggioMonitoraggioMonitoraggio
Se il firewall non protegge la Se il firewall non protegge la nostra applicazione Webnostra applicazione Web
L’IDS non scopre i nuovi L’IDS non scopre i nuovi attacchiattacchi
La VPN non protegge i servizi La VPN non protegge i servizi pubblicipubblici
E le patch arrivano tardiE le patch arrivano tardi
Niente sopperisce al Niente sopperisce al monitoraggio e controllo dei monitoraggio e controllo dei
sistemisistemi
Frodi aziendali e sicurezza IT-15Frodi aziendali e sicurezza IT-15© Claudio Telmon - 2001
““You can’t solve social You can’t solve social problems with software”problems with software”
- M. J. Ranum- M. J. Ranum
““You can’t solve social You can’t solve social problems with software”problems with software”
- M. J. Ranum- M. J. Ranum
Frodi aziendali e sicurezza IT-16Frodi aziendali e sicurezza IT-16© Claudio Telmon - 2001
Social engineeringSocial engineeringSocial engineeringSocial engineering
Consiste nel convincere qualcuno Consiste nel convincere qualcuno a svolgere per noi un’operazione a svolgere per noi un’operazione che non dovrebbe essere fattache non dovrebbe essere fatta
Non è possibile proteggersi con Non è possibile proteggersi con soli strumenti tecnicisoli strumenti tecnici
Funziona bene nelle grosse Funziona bene nelle grosse organizzazioniorganizzazioni
Esempi:Esempi: I Love YouI Love You accesso alle passwordaccesso alle password
Frodi aziendali e sicurezza IT-17Frodi aziendali e sicurezza IT-17© Claudio Telmon - 2001
La politica di sicurezzaLa politica di sicurezzaLa politica di sicurezzaLa politica di sicurezza Deve essere chiara a chi la deve Deve essere chiara a chi la deve
rispettarerispettare L’utente si deve sentire tutelato dalla L’utente si deve sentire tutelato dalla
dirigenza se rispetta la politicadirigenza se rispetta la politica Non può essere demandata al Non può essere demandata al
sistemista come semplice progettazione sistemista come semplice progettazione “tecnica”, perché comporta delle scelte “tecnica”, perché comporta delle scelte e dei costi che influenzano tutto il e dei costi che influenzano tutto il sistema informativosistema informativo
La politica deve essere realistica e La politica deve essere realistica e rispettatarispettata
Frodi aziendali e sicurezza IT-18Frodi aziendali e sicurezza IT-18© Claudio Telmon - 2001
AutenticazioneAutenticazioneAutenticazioneAutenticazione
Serve ad associare agli utenti Serve ad associare agli utenti i diritti sulle risorsei diritti sulle risorse
Serve a sapere chi ha svolto Serve a sapere chi ha svolto quali operazioniquali operazioni
A volte è un requisito di leggeA volte è un requisito di legge Quanto protegge i nostri Quanto protegge i nostri
sistemi?sistemi? Quanto protegge i sistemi pubblici?Quanto protegge i sistemi pubblici? E se un utente autenticato viola i E se un utente autenticato viola i
sistemi cosa facciamo?sistemi cosa facciamo?
Frodi aziendali e sicurezza IT-19Frodi aziendali e sicurezza IT-19© Claudio Telmon - 2001
Strumenti per l’autenticazioneStrumenti per l’autenticazioneStrumenti per l’autenticazioneStrumenti per l’autenticazione Si autentica:Si autentica:
qualcosa che si sa: PIN, password, codici variqualcosa che si sa: PIN, password, codici vari qualcosa che si ha: smart card, tessere ecc.qualcosa che si ha: smart card, tessere ecc. qualcosa che si è: valori biometriciqualcosa che si è: valori biometrici
Scopo di questi strumenti è sempre Scopo di questi strumenti è sempre di legare l’informazione di di legare l’informazione di autenticazione al soggetto, in autenticazione al soggetto, in modo che non possa essere modo che non possa essere falisficata, duplicata o trasferitafalisficata, duplicata o trasferita
Si tende ad associare più di un tipoSi tende ad associare più di un tipo
Frodi aziendali e sicurezza IT-20Frodi aziendali e sicurezza IT-20© Claudio Telmon - 2001
Autenticazione con chiave Autenticazione con chiave pubblicapubblica
Autenticazione con chiave Autenticazione con chiave pubblicapubblica
Si basa sulla segretezza della Si basa sulla segretezza della chiave pubblicachiave pubblica
L’utente non ricorda la chiave L’utente non ricorda la chiave pubblica, ma un PIN per pubblica, ma un PIN per sbloccarlasbloccarla
A seconda di dove è memorizzata A seconda di dove è memorizzata la chiave, l’autenticazione si la chiave, l’autenticazione si riduce quindi alla segretezza del riduce quindi alla segretezza del PIN e ad un sistemaPIN e ad un sistema
Con utenti “roaming” l’effetto è Con utenti “roaming” l’effetto è peggiorepeggiore
Frodi aziendali e sicurezza IT-21Frodi aziendali e sicurezza IT-21© Claudio Telmon - 2001
Smart card e sistemi biometriciSmart card e sistemi biometriciSmart card e sistemi biometriciSmart card e sistemi biometrici
L’uso della smart card L’uso della smart card garantisce, salvo garantisce, salvo manomissioni, che la chiave manomissioni, che la chiave privata non sia diffusa, ma privata non sia diffusa, ma non garantisce che la smart non garantisce che la smart card non sia consegnata a card non sia consegnata a un’altra persona o rubataun’altra persona o rubata
I sistemi biometrici danno più I sistemi biometrici danno più garanzie?garanzie?
Frodi aziendali e sicurezza IT-22Frodi aziendali e sicurezza IT-22© Claudio Telmon - 2001
01100110001
01100110001
01100110001
I dati sono datiI dati sono datiI dati sono datiI dati sono dati
Frodi aziendali e sicurezza IT-23Frodi aziendali e sicurezza IT-23© Claudio Telmon - 2001
Cosa si firma?Cosa si firma?Cosa si firma?Cosa si firma?
Usare la chiave senza rubarlaUsare la chiave senza rubarla Il caso Quicken: nel gennaio 1997 un Il caso Quicken: nel gennaio 1997 un
gruppo di hacker tedeschi (CCC) ha gruppo di hacker tedeschi (CCC) ha dimostrato in televisione di essere in dimostrato in televisione di essere in grado di far eseguire delle operazioni grado di far eseguire delle operazioni bancarie senza conoscere il PIN….. bancarie senza conoscere il PIN….. Con la firma digitale sarebbe cambiato Con la firma digitale sarebbe cambiato qualcosa?qualcosa?
L’inaccessibilità della chiave L’inaccessibilità della chiave non garantisce contro l’abusonon garantisce contro l’abuso
Frodi aziendali e sicurezza IT-24Frodi aziendali e sicurezza IT-24© Claudio Telmon - 2001
AAAAAAAAA
BBBBBB
Cosa si firmaCosa si firmaCosa si firmaCosa si firma
Frodi aziendali e sicurezza IT-25Frodi aziendali e sicurezza IT-25© Claudio Telmon - 2001
Assumere l’identità altruiAssumere l’identità altruiAssumere l’identità altruiAssumere l’identità altrui Se il PC di un utente è compromesso, Se il PC di un utente è compromesso,
l’utente (interno o esterno all’azienda) l’utente (interno o esterno all’azienda) può essere impersonatopuò essere impersonato finora i worm hanno usato la rubrica solo per finora i worm hanno usato la rubrica solo per
diffondersi...diffondersi...
Si tratta invece dei sistemi meno Si tratta invece dei sistemi meno controllaticontrollati
Non sono attacchi comuni per hacker Non sono attacchi comuni per hacker generici, e quindi sono spesso generici, e quindi sono spesso trascuratitrascurati
Sarebbero adatti per frodi e attacchi Sarebbero adatti per frodi e attacchi miratimirati