APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE -...
-
Upload
qlsrl -
Category
Technology
-
view
187 -
download
0
description
Transcript of APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE -...
15/10/2012 APT Demistified 1/2
0
APT DEMYSTIFIED STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE
Francesco Perna
15/10/2012 APT Demistified 2/2
0
Chi sono
• Appassionato di Computer dai primi anni ‘90 (invece del pallone di cuoio mio padre mi ha regalato un 8086 J ) e di Sicurezza Informatica da almeno 15 anni
• Security Researcher e Analyst
• Socio dell’associazione culturale telematica Metro Olografix
• Socio e responsabile tecnico di Quantum Leap srl, una società di consulenza che offre servizi di Sicurezza Informatica ad aziende ed organizzazioni
• http://it.linkedin.com/in/francescoperna
15/10/2012 APT Demistified 3/2
0
Di cosa si parlerà
• Demistificazione delle Minacce Avanzate e Persistenti (APT). Timeline dei principali attacchi rilevati, modelli di infezione adottati e analisi dei costi
• Vulnerabilità non «Avanzate» che minano la Sicurezza delle reti delle aziende Italiane. Troppo spesso queste vulnerabilità sono poco considerate, sottovalutate o non conosciute
• Dell’impato sulla Sicurezza causato da tecniche e tools noti da almeno 10 anni
• Contromisure da adottare per difendersi dalle Minacce avanzate e persistenti
15/10/2012 APT Demistified 4/2
0
0-DAY OR NO WAY … ADVANCED PERSISTENT THREAT
15/10/2012 APT Demistified 5/2
0
Gli attacchi sono ad ampio spettro:
•Vulnerabilità note unpatched, 0day, Internet Attacks
•Device infetti (Memorie, USB Stick, Tampered Device) •Vulnerabilità infrastrutturali •Social Engineering, insider agent
L’agente di minaccia esegue una missione:
•La persistenza è intesa come la capacità di poter completare gli obiettivi richiesti quando richiesto.
•Non è detto che venga eseguito costantemente del codice sul sistema attaccato
La minaccia non è costituita solo da malware:
•Dietro ai malware c’è un gruppo organizzato di persone motivate, organizzate e ben finanziate che compiono azioni all’interno dell’infrastruttura attaccata (data exfiltration, sabotaggio, intelligence, …)
Advanced Persistent Threats
ADVANCED
PERSISTENT
THREATS
15/10/2012 APT Demistified 6/2
0
APT Timeline eventi più significativi
15/10/2012 APT Demistified 7/2
0
Anatomia di un attacco
Malware Deployment
•Network Attack •Social Engineering
•Rogue Devices
Setup C&C Communications
C&C Control
•Ricognizione
•Furto di documenti •Sabotaggio •Spionaggio
•Denial Of Service
Persistenza nel perimetro
•Diffusione su altri sistemi all’interno dell’infrastruttura
•Occultamento
15/10/2012 APT Demistified 8/2
0
Stuxnet, stima dei costi
15/10/2012 APT Demistified 9/2
0
LE MINACCE ITALIANE CHI HA PAURA DEGLI APT ?
15/10/2012 APT Demistified
10/2
0
Ha davvero senso preoccuparsi ?
• La tipica Azienda o Organizzazione Italiana è ben lontana da dover temere le minacce di questo tipo
• Poiché la Sicurezza è vista troppo spesso soltanto come un costo, non sono implementate le contromisure necessarie a garantirne un livello adeguato rispetto ai processi aziendali
• Nelle slide successive saranno riportati alcuni esempi di Insicurezza Aziendale riscontrati nel corso delle attività di PenTest effettuate nel 2012
• Le Aziende di altri paesi non sono molto diverse in termini di sicurezza (basta pensare ad RSA, Stratfor, Sony, ecc.)
15/10/2012 APT Demistified
11/2
0
«NON È POSSIBILE DALL’ESTERNO ARRIVARE IN QUESTO PUNTO DELLA RETE»
INSICUREZZA DELLA RETE FISICA
15/10/2012 APT Demistified
12/2
0
Metodi per l’accesso fisico
• Per accesso fisico ad una rete in genere si intende l’accesso effettuato utilizzando il cavo di rete attestato sull’infrastrutura aziendale
• Un’estensione dell’accesso fisico avviene per mezzo delle tecnologie wireless o di accesso remoto
• Per garantire la sicurezza della rete bisogna garantire la sicurezza
• Dei canali fisici per l’accesso alla rete
• Dei locali e infrastrutture che consentono di accedere ai canali fisici della rete
15/10/2012 APT Demistified
13/2
0
(in)sicurezza dei locali
15/10/2012 APT Demistified
14/2
0
(in)sicurezza della rete ethernet
15/10/2012 APT Demistified
15/2
0
(in)sicurezza di altri accessi wired
• Cavi «dismessi»
• Rack aperti
• Grovigli di cavi
• Wall-Plug
• Esistono i vampiri ? Sicuro, ma l’aglio non serve J
15/10/2012 APT Demistified
16/2
0
(in)sicurezza degli accessi wireless
• Wifi 802.11*
• Open Network
• Weak Crypto / Pass-phrase deboli
• WPA Generated Key, quanti la cambiano ?
• Guest Network
• GPRS\UMTS APN
• Closed User Group questo sconosciuto
• TEST\TEST non si nega a nessuno
• Other RF (Bluetooth, Zigbee, Custom RF)
15/10/2012 APT Demistified
17/2
0
(in)sicurezza degli accessi legacy
15/10/2012 APT Demistified
18/2
0
«LA NOSTRA RETE È SICURA: ABBIAMO FIREWALL, IDS, IPS, …»
INSICUREZZA DELLA RETE LOGICA
15/10/2012 APT Demistified
19/2
0
Principi di design di una rete sicura
• Gli apparati di rete impiegati devono essere dimensionati correttamente
• La rete, oltre che per questioni legate alla sicurezza, deve essere segmentata
• I protocolli di rete non necessari per gli utenti, non devono essere esposti sulle reti dove essi sono attestati
15/10/2012 APT Demistified
20/2
0
Questa è la nostra rete
• 2 Router, 1 Firewall ed un pizzico di follia J
• Il router «Internet PRIV» instrada le VPN oltre al traffico internet generico
• Un agente di minaccia può occuparsi degli attacchi senza doversi preoccupare delle contromisure
15/10/2012 APT Demistified
21/2
0
Switch in Fail Open
• Per garantire la continuità operativa gli switch, in determinate condizioni di «stress», iniziano ad operare come se fossero degli hub
• Non sempre questo comportamento è determinato da azioni compiute da un agente di minaccia
• Microsoft, misconfigured, NLB cluster
• Troppi Client\Server attestati sull’infrastruttura
15/10/2012 APT Demistified
22/2
0
Man in the middle
• Nei primi anni 2000 sono stati svilupati degli attacchi diretti alle reti switched che consentono di poter intercettare il traffico
• Negli anni seguenti sono state sviluppate le contromisure necessarie a proteggere le reti da questi attachi
• Nel 2012 riscontriamo che …
15/10/2012 APT Demistified
23/2
0
Man in the middle
• Non è cambiato niente
http://blackhats.it/it/papers/Slides-mitm.pdf
15/10/2012 APT Demistified
24/2
0
Protocolli di gestione della rete
• Sistemi di asset management cercano, OVUNQUE SULLA RETE, i dispositivi per mezzo delle community SNMP
• Repository delle configurazioni degli apparati di rete, e di sicurezza, non adeguatamente protetti
• Le configurazioni includono password, community SNMP, subnet e altre informazioni utili per portare a termine attacchi strutturati all’interno dell’infrastruttura attaccata
15/10/2012 APT Demistified
25/2
0
«I NOSTRI PROGRAMMATORI SONO DEGLI EX HACKER CHE ORA SONO BUONI»
INSICUREZZA NEL MONDO DELLE APPLICAZIONI
15/10/2012 APT Demistified
26/2
0
(in)sicurezza nel software
Il mio codice funziona meglio di quello nella
libreria
o
Conoscevamo già quella
vulnerabilità
Quello non è un bug, è una
feature
Carenze nei meccanismi di validazione e
neutralizzazione dell’input
Controllo d’accesso … Client Side
Password in chiaro
15/10/2012 APT Demistified
27/2
0
Protezione offerta dagli anti virus
• msfpayload windows/meterpreter/bind_tcp X > moca_x86_tcp_4444.exe
15/10/2012 APT Demistified
28/2
0
Protezione offerta dagli anti virus
• msfpayload windows/x64/meterpreter/bind_tcp X > moca_x64_tcp_4444.exe
15/10/2012 APT Demistified
29/2
0
Il problema degli anti virus
• Stando alle risposte ricevute dai vendor, questo comportamento non può essere considerato una vulnerabilità, in quanto mancano soltanto le signature
• Sebbene la risposta sia formalmente corretta, il fatto che gli antivirus non riescano ad identificare minacce a 64 bit costituisce una vulnerabilità
• The truth is, consumer-grade antivirus products can’t protect against targeted malware created by well-resourced nation-states with bulging budgets. They can protect you against run-of-the-mill malware: banking trojans, keystroke loggers and e-mail worms. But targeted attacks like these go to great lengths to avoid antivirus products on purpose – Mikko Hypponen
15/10/2012 APT Demistified
30/2
0
«L’UNICO RISULTATO OTTENIBILE FACENDO DEI SISTEMI A PROVA DI IDIOTA, È QUELLO DI SFIDARE DIO A FARE DEGLI IDIOTI PIÙ IDIOTI DI PRIMA»
MINACCE PERSISTENTI REALI
15/10/2012 APT Demistified
31/2
0
Il fattore umano
15/10/2012 APT Demistified
32/2
0
Il fattore umano
• Un utente medio riesce a clickare più velocemente di quanto riesca a pensare
• Per quanto ci si sforzi di fare security awarness, dato un subset di cose da non fare, gli utenti le faranno
• Data una limitazione imposta per ragioni di security, gli utenti troveranno un modo per bypassarla