Smau Milano 2014 Walter Russo

20
Posta elettronica: come difendere la propria eID Smau 2014, Milano 23 ottobre 2014 Walter Russo Technical director, Horus Informatica Padiglione 1 Stand D33 [email protected] 1

description

Posta elettronica: come difendere la propria eID

Transcript of Smau Milano 2014 Walter Russo

Page 1: Smau Milano 2014 Walter Russo

Posta elettronica:

come difendere la propria eID

Smau 2014, Milano

23 ottobre 2014

Walter Russo

Technical director, Horus Informatica – Padiglione 1 Stand D33

[email protected]

1

Page 2: Smau Milano 2014 Walter Russo

Definizione di identità elettronica

L’eID è l’insieme di attributi relativi ad una entità

(persona fisica, persona giuridica, ecc.).

Questi attributi possono essere informazioni

personali (Nome, Cognome, data di nascita),

informazioni relative al nostro profilo (indirizzo di

email, consenso privacy, abilitazioni a servizi,

ecc.).

Tra gli attributi, ve ne sono alcuni speciali

denominati credenziali: sono utilizzati per poter

accedere in modo sicuro ai servizi.

2

Page 3: Smau Milano 2014 Walter Russo

Definizione di ID-Theft (furto d’identità)

Si ha un furto d’identità ogni qualvolta

un’informazione individuale, relativa ad una

persona fisica o giuridica è ottenuta in modo

fraudolento da un criminale con l’intento di

assumerne l’identità per compiere atti illeciti.

3

Page 4: Smau Milano 2014 Walter Russo

Tipologie di frode

Identity cloning

Financial Identity Theft:

Criminal Identity Theft

Synthetic Identity Theft

Medical Identity Theft

Gosthing

Cyber bullismo

4

Page 5: Smau Milano 2014 Walter Russo

Metodologie di frode

Skimming

Siti internet

Phishing

Vishing o voice phishing

Spamming

Keylogging

Spoofing

5

Page 6: Smau Milano 2014 Walter Russo

Metodologie di frode

Pharming

• Sniffing

• Download

Trashing o bin raiding

• Dumpster diving

• Indirizzo di posta

Furto

• Contatti indesiderati

6

Page 7: Smau Milano 2014 Walter Russo

I danni causati dal furto di identità I sistemi di rilevazione di CRIF nel 2013 hanno rilevato più di 26.000 frodi

creditizie, per perdite economiche stimate complessivamente in 162 milioni

di Euro. Con un +8,3% rispetto all’anno precedente si conferma, quindi, un

trend in preoccupante crescita.

Tipologia di finanziamento oggetto di frode

7

Page 8: Smau Milano 2014 Walter Russo

Profilo delle vittime

Fonte: CRIF

8

Page 9: Smau Milano 2014 Walter Russo

Tempi di scoperta della frode?

Fonte: CRIF

9

Page 10: Smau Milano 2014 Walter Russo

Perché si cade nelle frodi? La scarsa conoscenza dei rischi da

parte dei cittadini, con la conseguente

ridotta tendenza a tutelarsi

adeguatamente, permette ai criminali di

accedere a informazioni personali e

riservate altrui attraverso documenti

cartacei o in formato digitale.

A questo si aggiungono le oggettive

difficoltà da parte degli istituti di credito

e, soprattutto, degli esercizi

commerciali nel verificare la reale

veridicità dei dati presentati al

momento della richiesta di un

finanziamento.

10

Page 11: Smau Milano 2014 Walter Russo

Per quali ragioni non si prendono precauzioni?

11

Fonte: Camera di commercio di Torino - Osservatorio Provinciale sulla Contraffazione

Page 12: Smau Milano 2014 Walter Russo

La prima linea di difesa del proprio eID

La conoscenza dei rischi e le tecniche usate per rubare la propria identità

Non fornire informazioni più di quanto non sia strettamente necessario ed

eventualmente scartare i servizi che ne chiedono troppe.

Usare più email: una principale da comunicare a poche persone e altre

per gestire i vari servizi online

Usare password differenti per differenti servizi e non scriverle su un foglio

di Word o Post-IT

Firmare digitalmente le comunicazioni con il protocollo standard s/mime in

modo tale da identificare se stessi ed eventualmente applicare la cifratura

se necessario

Utilizzare metodi di pagamento sicuri come per esempio PayPal che

rimborsa l’utente in caso di frode.

Utilizzare un valido antivirus, firewall e antispam

Utilizzare un sistema di cifratura dei dati

Non salvare le password nel browser

Chiedere – in caso di dubbio – sempre ad un esperto 12

Page 13: Smau Milano 2014 Walter Russo

Un esempio pratico: l’attributo PASSWORD

Scegliete un nome legato alla vostra vita.

Per esempio scegliamo “alassio”

Trasformate alcune lettere in numeri. “ala551o”

Aggiungete in testa o in coda un numero facile da ricordare, come

l’anno di nascita di un figlio o della fidanzata. “ala551o06”

Aggiungete un carattere speciale in testa o in coda.“ala551o06_”

Dopo il carattere speciale, aggiungete una o più lettere(magari

MAIUSCOLE) legate al servizio da proteggere con password.

“ala551o06_E” sarà la password delle email, “ala551o06_C” sarà quella

del computer e così via.

13

Page 14: Smau Milano 2014 Walter Russo

Tipologie di attacco

14

Page 15: Smau Milano 2014 Walter Russo

Tecniche di difesa (DDos)

15

452 Connection blocked by rate limit

Alert

admin

2 Conns in 10 min

1 2 3

Page 16: Smau Milano 2014 Walter Russo

Tecniche di difesa (DDos)

16

Alert

admin

Any User: 2 msgs in 10 min

1 2 3

452 Connection blocked by

account message rate limit

user1

a. Stop hacker using stolen account and password to send a lot of emails.

b. Detect abnormal sending behavior earlier.

Page 17: Smau Milano 2014 Walter Russo

Tecniche di difesa (Account Cracking)

17

Alert

User

User1 Login

Password Error

User1 Login

2 Login Failed in 10 min

1 2 3

Stop hacker guessing password via SMTP auth.

Block any IP using this account during smtp auth.

1.1.1.1

2.2.2.2

Page 18: Smau Milano 2014 Walter Russo

Tecniche di difesa (APT)

18

Page 19: Smau Milano 2014 Walter Russo

Tecniche di difesa contro attacchi web (WAF)

19

Firewalls/IPS cannot protect a web application from unknown threats

Traditional

Firewall

Web &

Application

Server Database

Server

Organization's IT network Unauthorized access blocked

WAF protection

WAF protection

Protects web-apps and web servers

from hackers

Positive protection model and No

Signature Tables

Intuitive website flow detector

Automatically adapts to website

changes

Protects against OWASP top 10

web-app vulnerabilities

SSL Offloading

Monitoring & Reporting

Page 20: Smau Milano 2014 Walter Russo

GRAZIE!

Walter Russo

Technical director, Horus Informatica – Padiglione 1 Stand D33

[email protected]

20