Smau MI 2012 - White Hat vs Balck Hat: consapevolezza dell'hacking etico in azienda

09/05/12 Titolo della presentazione

/20

Titolo della presentazione 3/2

0

Andrea Patron – CEO IPCop Italia

White-Hat vs Black-HatConsapevolezza dell’Hacking etico in Azienda


/20

White-Hat vs Black-Hat 3/2

0

Partecipazioni internazionali

Partecipazioni nazionali

INTERNATIONAL WEBMASTERS ASSOCIATION

Prima associazione al mondo (dal

1996) che raggruppa chi lavora nel

Web, sia nel settore pubblico che

privato

Obiettivo di IWA è creare rete tra i

soci, partecipare all'evoluzione

della rete e divulgare conoscenza

tramite i soci con eventi ed

iniziativemedia partner

http://www.iwa.it

http://www.iwa.it/


/20


0

media partner

1 rete tra professionisti

partecipazione a gruppi di lavoro anche internazionali

convenzioni per tutela professionalità (esempio: studi legali)

2

3

quota speciale SMAU: euro 50,00 presso stand IWA

Perché associarsi

INTERNATIONAL WEBMASTERS ASSOCIATIONhttp://www.iwa.it

http://www.iwa.it/


/20


0


/20


0

Scaletta del Seminario

• Situazione e dati Attacchi Hackers in Italia• Introduzione agli Hackers• Illustrazione delle principali minacce• Classificazione degli Hackers White e Black• Soluzioni a fronte delle minacce presentate• Vantaggi costruttivi economici che ne derivano

da tali soluzioni• Esempio di attacco Hacker a danno di un sito• Aumento del livello di produttività aziendale


/20


0


/20


0

Dati ISTAT sull’ ICT Aziendale

Secondo l’ISTAT l’Italia negli ultimi anni ha avuto una notevole Crescita

Tecnologica, ma mai alla pari con gli altri paesi in Europa.

Fonte:

Indagine ISTAT – Testo Integrale del 13/12/2011

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Italia Altri Paesi

> 100 Mb/s

10 a 100 Mb/s

10 a 30 Mb

2 a 10 Mb/s

< 2 Mb/s


/20


0

Dati ISTAT sull’ ICT AziendaleManca, da parte delle aziende, la consapevolezza di una giusta

politica sulla sicurezza

Fonte:

Indagine ISTAT – Testo Integrale del 13/12/2011

75,8%88,2%

56,7%

0

20

40

60

80

100

Percentuale livelli di rischio %

Distruzione Dati Cause Attacco

Divulgazione dati Sensibili

Divulgazione Dati causa AttaccoEsterno

Politica e rischi di sicurezza


/20


0

Attuale situazione: Italia primato attacchi a PC

45,5%

(29,235)

36,3%

(45,262)

28,8%

(65,125)

36,8%

(51,444 )

38,8%

(245)

0

10

20

30

40

50

60

70

80

90

100

Italia Francia Germania UK USA

Esposizione Rischio (Percentuale) Utilizzatori internet (Milioni)

Fonte:

“The Geography of Cybercrime: Western Europe and North America” Kaspersky Lab


/20


0

Che cos’è un Hacker

Un hacker(termine coniato negli Stati Uniti d'America che si può rendere in italiano con smanettone) è una persona che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d'interesse (che di solito comprendono l'informatica o l'ingegneria elettronica), ma in tutti gli aspetti della sua vita. Esiste un luogo comune, usato soprattutto dai mass media (a partire dagli anni ottanta), per cui il termine hacker viene associato ai criminali informatici, la cui definizione corretta è, invece, "cracker".

Fonte: Wikipedia.org


/20


0

Rapporto Cronologico Tecnologico n.1

1980

1990

Floppy contagiatida Virus Virus via

connessione

Fake Dial-up Virus, Malware,

Trojans, Fishing

Internet via Dial-up e

ISDNin Italia

AvventoBanda Larga

Continua >>

BBS – Reti Private


/20


0

Rapporto Cronologico Tecnologico n.2

2000

2010

EspansioneBanda Larga

AvventoWiFi

InternetMobile

Cloud Computing

Data

Social Networks

Attacchi DoS,Fake Sites Crack WiFi

Intrusion, Data servers,

Codes Injections

Furto d’Identità

Cloacking

Brute Force


/20


0

Più velocità di elaborazione, maggiore capacità di esecuzione di attacchi Hackers

Esiste uno stretto rapporto tra la velocità d'esecuzione degli attacchi in base alla capacità di elaborazione dell'attuale mondo delle macchine, specie attualmente arrivati al Clouding Data.

Allargando maggiormente la nostra esposizione, ma accorciando i tempi di esecuzione.


/20


0

Principali Minacce alla sicurezzaSono tante le minacce che dobbiamo fronteggiare.

• Furto di Informazioni e Identità / Stolling e Stolking

• Fishing / Defacciamento di Siti Web

• Diffusione di Malware / Codice Corrotto

• Spam / Truffe / Dirottamento di Sessioni / Violazione Privacy

• Worm / Furto di Dati / Estorsione / Inclusione in BotNet

• Hacking sulle connessioni / WiFi

• Divulgazione di Informazioni / Danni alle Vendite

• Virus / Trojans / Rootkit

• Attacchi DoS, provenienti direttamente dall'esterno

• Altro


/20


0

Principali Minacce alla sicurezzaMa si possono distinguere in 2 distinti processi di Haking

Haking Attivo Haking Passivo

• Brute Force• Sniffing• Attacco DoS• Attacco diretto alle Porte del

Protocollo TCP• Exploit• Cloaking• Altro

• Virus• Trojans• Spam• Fishing• Meta Exploit• Codice Malevolo nei siti• Codice Malevolo nelle Immagini• Altro

Come possiamo fronteggiare tale piaghe?Ma soprattutto perché ci sono?


/20


0

Video Introduttivo sugli HackersCapire con chi abbiamo a che fare. E Perché.

Tratto dalle Iene di Italia uno

http://vimeo.com/51274168


/20


0

Quindi esistono 2 categorie di Hackers

La differenza sostanziale tra i 2 è che si differenziano

per principio etico.

White-Hat Black-Hat

VS

Che cosa differenzia questi 2?


/20


0

Soluzione per Aziende e Professionisti

Trasformarsi in Hackers per combattere le minacce

alla nostra azienda.

• Dotarsi della consapevolezza necessaria per saper combattere

• Conoscere gli strumenti più usati

• Sapere come rivolgersi a persone e istituzioni di competenza


/20


0

Breve lista di strumenti adottati dagli HackersRendersi Sicuri dietro sistemi di protezione consoni alla

nostra esigenza Aziendale.

• Diversificazione delle reti

• Dotarsi di un sistema di log o di tracciamento del traffico

• Individuare l’origine dell’attacco e soprattutto la sua tipologia

• Protezione dietro Firewall e Servizi UTM ben configurati

Azioni Passive


/20


0

Breve lista di strumenti adottati dagli HackersAcquisire capacità tecniche dell’hacking.

Ad ogni tipologia, il suo strumento adatto.

• Irrobustire e consolidare le proprie Password per evitare Attacchi Brute Force

• Back-up Sistematici dei dati

• Proteggere l’anonimato per evitare l’individuazione

• Usare strumenti di scansione Traffico sui protocolli di rete per eseguire check approfonditi

• Rivolgersi alle autorità competenti come Garante della Privacy e Polizia Postale

Azioni Attive


/20


0

Quali Vantaggi per le nostre Aziende?

Acquisendo la competenza e la consapevolezza di tali disposizioniÈ possibile reperirne vantaggi economici per la nostra azienda

• Non basta un semplice antivirus al giorno d'oggi.

• E le Aziende non possono permettersi di aumentare il budget di investimento ulteriormente per garantire una maggiore sicurezza.

• Un’azienda più sicura aumenta di credibilità ma soprattutto di reputazione


/20


0

Ragionare con la filosofia dell’open souce

fa risparmiare tempo e denaro.

Mette la nostra azienda in una condizione tecnologica altamente superiore, aumentandone anche i livelli di concorrenza

L’OPEN SOURCEè il motore che alimenta la maggior parte di Internet e delle infrastrutture ICT

Quali Vantaggi per le nostre Aziende?


/20


0

Quali Vantaggi per le nostre Aziende?Tramite l’istruzione e la competenza diretta nel campo, è possibileottenere risultati soddisfacenti.

Essere al passo con i tempo implica anche la consapevolezzadi doversi dotare di quel bagaglio di conoscenze necessarie almiglioramento e all’efficienza costruttiva della nostra azienda.

Aumentare la produzione ed il rendimentoattraverso una mera attività volta alrisparmio ed alla sicurezza.

Punto di forza per combattere il dilaganteproblema della crisi economica.


/20


0

Esempio di Attacco Hacker ad un sitoIn sito di un’importante società violato a causa di infiltrazioni dicodice malevolo proveniente dall’esterno

Il sito presentava dei contenutidinamici non consoni alladescrizione degli utenti, e spessoalcuni link portavano a siti piratao ad altri link poco accomandabili,che avrebbero pregiudicato lareputazione dell’azienda

Come abbiamo dovuto

procedere?


/20


0

Come abbiamo dovuto procedere?Dopo un’attenta analisi, scansione e check con gli opportunistrumenti è stato rivelato che:

Il Servizio di Host ISP (Internet Service Provider) ove risiedevail sito, non rispettava alcuni principi fondamentali di sicurezza,erogando servizi di SQL data non protetti adeguatamente.

Effettuata la scansione del protocollo TCP ha rivelato che ben30 porte di servizio erano aperte sul firewall consentendo achiunque di entrare e modificare i contenuti del sito stesso.

Specie per la porta di servizio MySQL aperta libera nell’esserecorrotta da un semplice Brute Force.


/20


0

Il giusto equilibrio tra consapevolezza e controllo, mette la nostraattività, azienda, impresa o professione che sia, ad un livello piùalto, rispetto alla concorrenza, aumentandone la produzione ediminuendone i consumi, sempre al passo con i tempi tecnologici.

Consapevolezza e Controllo

=Azienda Redditizia

La tecnologia non deve essere un peso!

Consapevolezza e controllo!


/20


0

IPCop Italia – http://www.ipcop.pd.it

Community tutta Italiana, che permette di

interagire tra i suoi utenti e sviluppatori.

• Forum On-Line – http://forum.ipcop.pd.it• Sezione di Download• Wiki - http://wiki.ipcop.pd.it• Assistenza Tecnica


/20


0

Formazione – http://corsi.ipcop.pd.t

Piattaforma E-Learning su core Docebo®, con lo

scopo di Informare ed informatizzare le PMI on line

sul mondo dell’ICT, attraverso:

• Corsi Formativi e Tecnici• Seminari (Webinar)• Workshop on-line


/20


0

Grazie a tutti Voi per aver Partecipato

Ringraziamento Speciale a Giacomo e NenaPer il loro supporto e sostegno.

IPCop Italia SMAU MI 2012

Andrea Patron – CEO IPCop Italia

http://www.ipcop.pd.it – http://corsi.ipcop.pd.it

Seguiteci sui maggiori Social Networks

Smau MI 2012 - White Hat vs Balck Hat: consapevolezza dell'hacking etico in azienda

Technology

Transcript of Smau MI 2012 - White Hat vs Balck Hat: consapevolezza dell'hacking etico in azienda