1

Servizi online: possiamo fidarci?

Ing. Salvatore Capolupo

Consulente informatico

Una breve introduzione alle tematiche di sicurezza sul web

2

Facebook

800 – 1000 milioni utenti

3

Facebook

● 50% entra su Facebook 1 volta al giorno● 20% link portano virus (dati del 2012, fonteZDNET, http://goo.gl/TT8kff)

4

● 1,7 miliardi di cercatori● 187 milioni di visite mensili● 21,5 milioni di richieste rimozione risultati

(fonte: expandedramblings.com)

Google

5

● Nel settembre 2014 sono state pubblicati oltre 5milioni di credenziali (indirizzi Gmail +password)● Rubati da vari siti ed aggregati● Non coincidevano con le credenziali di accessoall'account Google (fonte: http://goo.gl/EMFumz)

Google

6

● 409 milioni di utenti / mese● oltre 19 miliardi di pagine visualizzate al mese● Nazionalità: English: 71%, Spanish: 5.1%,Indonesian: 2.5%, Portuguese: 2.5%, French:1.5%, German: 1.3%, Italian: 1%

(fonte: wordpress.com/activity)

WordPress

7

● 7% dei full disclosure riguarda falle diWordPress (dati Google)● In media tra core, theme e plugin ne vengonoscoperte circa 3 al mese

(fonte: seclists.org)

WordPress

8

● Significa che le falle di sicurezza informaticavengono monitorate e rese pubbliche periodicamente

● „...idea maledettamente buona. Un'analisipubblica è l'unico modo attendibile permigliorare la sicurezza, la segretezza cirenderebbe solo meno sicuri“ (Bruce Schneier)

Full Disclosure

9

● Molte aziende sono contrarie

● Apple, Microsoft sono più favorevoli al„responsable disclosure“ (del tipo diciamolo solodopo aver risolto la falla)

Buona idea?

10

● Software → serratura + chiave di casa

● Falla di sicurezza software → „difetto“ nellachiave / serratura

● Vorresti sapere se la chiave di casa tua èdifettosa?

Nota

11

● Sopravvalutazione di servizi essenzialmentegratuiti (basati sulla pubblicità)

● Serratura + chiave le paghiamo, molti di questiservizi sono free

● ...

Altra nota

12

● La frenesia di condividere foto e dettagli privatisui social fa dimenticare l'importanza dellaprivacy

● La maggioranza dei virus / malware è concepitaper violare la nostra privacy

E poi...

13

● Molti mantengono su Facebook, Google Driveo Youtube l'unica copia di proprie foto, video odocumenti

● → Rischio enorme

Nota

14

● Youtube

● Facebook

Due casi recenti?

15

● Scoperto da: Kamil Hismatullin● Problema: Qualsiasi video caricato suYoutube era a rischio eliminazione arbitraria● Problema risolto il 1 aprile 2015

● Fonte: http://goo.gl/4WuHnu

Qualsiasi video di Youtube era eliminabile

16

● Scoperto da: Laxman Muthiyah● Problema: Qualsiasi foto caricata suFacebook era a rischio eliminazione arbitraria● Problema risolto il 10 febbraio 2015

● Fonte: http://goo.gl/gZVKCf

Qualsiasi foto caricata su Facebook eraeliminabile

17

● I ricercatori hanno applicato entrambi una„disclosure responsabile“

● … e se non l'avessero fatto?

Note

18

● Fappening: un utente ha diffuso su 4chan /Reddit foto intime di vari attori / attrici ●„se mi pagate vi mando le altre che ho rubate“● Disclosure irresponsabile + leaking (pubblicazioni dati privati)

Infatti...

19

● Apparentemente il problema è derivato da unafalla informatica su iCloud (http://goo.gl/wLoMAq)● Tutti gli utenti che salvavano foto private sucloud erano a rischio

Fappening

20

● Scoperti da: vari ricercatori● Problema: usando app malevole è possibileprendere il controllo del telefono, del PC, delMac o del tablet● Problema aperto / risolto solo in parte

● Fonte: http://goo.gl/46bBHC

Altri casi: Remote Administration Tools (RAT)

21

● Scoperti da: vari ricercatori● Problema: malware in grado di rubare dalconto corrente della vittima usando virus +ingegneria sociale● Problema aperto / risolto solo in parte

● Fonte: http://goo.gl/32utCx

Dyre Wolf: malware per app banking

22

● Scoperti da: vari ricercatori● Problema: malware in grado di trasmettere almalintenzionato dati sulla macchina e/oriservati dell'utente● Problema aperto / risolto solo in parte

● Fonte: http://goo.gl/46bBHC

Exfiltration

23

● La maggioranza delle app offre gli strumentiper proteggersi da furti di dati:

● 2-factor authentication● password robuste● ...● buonsenso

Conclusioni

24

● Queste tematiche saranno approfondite nel mioebook in uscita prossimamente su Amazon

● Info: http://salvatorecapolupo.it/ebook

Approfondimenti

25

A questo indirizzo:

http://migliorhosting.biz/category/sicurezza-web-it/

Sono pubblicati periodicamente bollettini, informazioni disicurezza informatica e suggerimenti per tutti

Grazie!