La pratica della Sicurezza Informatica dall'artigianato...

24 febbraio 2015Andrea Zwirner – Linkspirit

Università degli Studi di VeronaPresentazione del curriculum Sicurezza del Sistemi Informatici 1

La pratica della Sicurezza Informaticadall'artigianato all'industrializzazione

Andrea Zwirner

[email protected]

@AndreaZwirner

Sicurezza informatica



● Mi interesso di sicurezza informatica dallo scorso millennio

– “Connettere” significava “intrecciare”

– Hacker non aveva ancora alcun significato

● Ho fondato Linkspirit, azienda che si occupa di

– Consulenza nella progettazione di software e sistemi

– Verifiche di sicurezza

– Formazione

Chi sono



Nel (poco) tempo libero

● Partecipo a diversi progetti liberi legati la divulgazione della cultura sulla sicurezza informatica

www.isecom.org

www.hackerhighschool.org

Progetto Scuole www.progettoscuole.it



Sicurezza informatica “offensiva”

● Utilizzo di strumenti e metodologie usate dagli attaccanti reali

● Accesso a servizi ed informazioni senza possedere i permessi previsti dalle politiche di sicurezza

– Lettura → Confidenzialità

– Scrittura → Integrità / Disponibilità

● Evidenzia le vulnerabilità di sicurezza presenti nei sistemi oggetto di analisi



● La mia* visione dell'evoluzione della “sicurezza informatica”, dall'artigianato all'industrializzazione

● Uno sguardo su come si prospetta essere il domani

● Alcuni dei progetti dell'Università di Verona per il curriculum di sicurezza dei sistemi informatici

* non necessariamente completa, corretta o sensata e, soprattutto, rivolta ad un pubblico adulto.

Di cosa parliamo oggi



Hacking: le origini della sicurezza informatica

● La sicurezza informatica come la conosciamo oggi affonda le sue radici nell'hacking (nel cosiddetto “underground”)

● L'underground fiorisce nei Bulletin Board Systems (BBS) e nelle e-zine

● L'hacking non è altro che ricerca di conoscenza, in campo informatico



Phrack Magazine

● Il numero di Phrack Magazine (48 di giugno '96) da cui molti – fra cui il sottoscritto – hanno appreso l'IP-spoofing



Hacking: le origini della sicurezza informatica

● Al di la del nome, allora come ora l'argomento sicurezza era affascinante

● Non esisteva un buon quadro normativo e lato FF.OO. non vi erano competenze e strumenti per farlo rispettare

● Il terreno era fertile: la rete era disseminata da milioni di sistemi a sicurezza zero



Tutta la tecnologia a disposizione



Non proprio tutta, c'è anche il server della famiglia



Oggi lo chiameremmo “sentiment ”



Altra tecnologia



Cose oggi date per scontate



La figura dell'hacker

● Alla base ci sono passione e profonde competenze (al di la di come poi queste vengano utilizzate)

● Vi è una forte base etica

● Vi è un ideale

● La condivisione è strumento di crescita personale e di gruppo



The Hacker Manifesto

● Il Manifesto Hacker di The Mentor, scritto l'8 gennaio 1986, viene pubblicato nell'uscita 7 di Phrack



La figura del cracker

● La figura dell'hacker è rovinata da quella del cracker

● Se da una parte può condividerne le competenze, dall'altra non ne condivide ne l'etica ne gli ideali

● Spesse volte non ha le competenze dell'hacker, ma fa uso di ciò che questo condivide

● Può essere spinto da svariate motivazioni, fra cui gli interessi economici e l'affermazione personale

● Nasce la “moda” del defacement



Il defacement come strumento di affermazione



La necessità della sicurezza informatica

● Internet non è molto diffusa, ma esiste già la necessità di tenere al sicuro informazioni di grandi imprese, governi, militari o bancarie

● I primi “esperti di sicurezza informatica” sono gli stessi hacker



Famous black and white hat wearers

Mr. Kevin Mitnik Mr. Tsutomu Shimomura



L'hacker come esperto di sicurezza informatica

● Le verifiche di sicurezza sono effettuate da hacker, che trasformano in lavoro la loro passione

● Siamo ai tempi dell'artigianato della sicurezza informatica

– Scrittura ed adattamento di codice ad-hoc

– Modalità di lavoro elegante e raffinata

● Strumenti e metodologie dell'hacking sono utilizzati per fronteggiare gli attacchi informatici



L'evoluzione della minaccia

● Con la diffusione di Internet, il piatto cresce notevolmente ed i fini si diversificano

– Frodi, truffe, ricatti, estorsioni, furti di identità, spionaggio industriale

– Il ritorno economico è altissimo, sia lavorando su grandi numeri che su grandi lavori

● Non parliamo di hacking ne di cracking, ma di crimine informatico

– Reati informatici

– Reati compiuti attraverso lo strumento informatico



ed il degrado delle competenze

● La maggior parte degli attacchi non merita nemmeno di essere considerato hacking



La nascita dell'industria della sicurezza

● Ogni azienda ha qualcosa da proteggere

– La richiesta del mercato cresce notevolmente

● L'offerta di artigiani scarseggia

● Le strategie di attacco sono di bassa qualità

● La sicurezza delle aziende è inesistente

● Un offerta a limitata qualità è più che sufficiente



La nascita dell'industria della sicurezza

● Standardizzazione ed automazione di procedure

– Verifiche di sicurezza automatizzate

● Forte abbassamento della qualità nel servizio

● Inizialmente la situazione delle aziende è talmente grave che vi è comunque un miglioramento generale



Il modello di business

● Nascono aziende di sicurezza con due prerogative

– Creare un reparto commerciale in grado di vendere test di sicurezza “al chilo”

– Creare un reparto tecnico con le competenze per● fare click sul pulsante avvia test● stampare e rilegare il report automatico

● Scherzo, fino ad un certo punto



Un modello sostenibile?

● Sul lungo periodo però i nodi tornano al pettine

– Grosse aziende sotto attacco vengono inesorabilmente violate

– Retest (artigianali) di sistemi già testati (industrialmente) evidenziano diverse vulnerabilità

● All'orizzonte vi è di nuovo la necessità di persone competenti in materia



In tutto questo gli hacker si sono estinti?

● C'è stata una leggera tendenza a proteggere le competenze, proteggendone la diffusione

● In generale però sono dove sono sempre stati, hanno conservato la loro etica ed i loro ideali



Dove sono finiti gli hacker



Ma gli hacker si sono estinti?

● Non sono certo sufficienti a soddisfare la richiesta del mercato

● Attualmente chi ha un curriculum – anche non particolarmente guarnito – ha ottime opportunità di lavoro

– la maggior parte delle quali all'estero (per ora)



Il progetto dell'università di Verona

● Affiancare agli insegnamenti accademici esercitazioni pratiche di effettiva utilità nel campo del lavoro

● Favorire l'apprendimento di strategie di difesa di software e sistemi inquadrando i problemi dal punto di vista offensivo



Laboratori di sicurezza

● Implementazione di un ambiente virtuale (contenitore)

● Fornisce un contesto di esecuzione a diverse famiglie di esercitazioni sulla sicurezza

● Fornisce apparati di rete, per il monitoraggio, host con diversi sistemi operativi ed il software su di essi installato

● Un contenitore viene istanziato all'avvio di ogni esercitazione e distrutto al termine



Laboratori di sicurezza

● Separa l'esercitazione dal resto del mondo, creando un ambiente controllato in cui “smanettare” in libertà.

● Dal punto di vista dell'utilizzo i contenitore è

– Indipendente dagli esercizi

– Di configurazione immediata

● La creazione e rilascio degli esercizi potrà essere effettuata da tutti, studenti compresi



Laboratorio di analisi dei sistemi

● Ha il fine di familiarizzare con gli strumenti di analisi successivamente utilizzati negli altri laboratori

● Esercizi su tematiche di debugging e test di sistemi in ambiente Windows, Linux e mobile (emulatori)

– Esempi di debug

– Analisi di file oggetto e disassemblaggio

– Alterazione dello stato dei processi

– Monitoraggio ed alterazione delle interazioni interprocesso



Laboratorio di codice malevolo

● Disponibilità di una rete di macchine virtuali (e fisiche) per l'esecuzione di malware

● Analisi delle attività del codice malevolo in esecuzione

– Alterazioni dello stato del sistema compromesso

– Traffico di rete generato



Laboratorio di sicurezza delle reti

● Disponibilità di una rete virtuale di macchine client, server ed appartati attivi, con sistemi operativi differenti

● Esercizi di dirottamento, intercettazione, analisi ed alterazione del traffico di rete

● Esercizi di rilevazione di anomalie del traffico di rete (IDS)● Esercizi di analisi e verifica delle configurazioni di filtraggio● Fingerprinting di sistemi e servizi, rilevazione di vulnerabilità● Attacchi ARP spoofing e MITM



Laboratorio di sicurezza del software

● Esercizi su tematiche di protezione del software

– Elusione di controlli di sicurezza (password, chiavi, licenze)

– Elusione di sistemi di protezione della proprietà intellettuale

● Esercizi sulle specificità dell'ambiente mobile

– Elusione dei sistemi di protezione di informazioni

● Esercizi su tematiche di vulnerabilità del software

– Overflow del buffer

– Applicazioni web



La pratica della Sicurezza Informaticadall'artigianato all'industrializzazione

Andrea Zwirner

[email protected]

@AndreaZwirner

Sicurezza informatica

La pratica della Sicurezza Informatica dall'artigianato...

Documents

Transcript of La pratica della Sicurezza Informatica dall'artigianato...