15/10/2012 APT Demistified 1/2

0

APT DEMYSTIFIED STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE

Francesco Perna

15/10/2012 APT Demistified 2/2

0

Chi sono

• Appassionato di Computer dai primi anni ‘90 (invece del pallone di cuoio mio padre mi ha regalato un 8086 J ) e di Sicurezza Informatica da almeno 15 anni

• Security Researcher e Analyst

• Socio dell’associazione culturale telematica Metro Olografix

• Socio e responsabile tecnico di Quantum Leap srl, una società di consulenza che offre servizi di Sicurezza Informatica ad aziende ed organizzazioni

• http://it.linkedin.com/in/francescoperna

15/10/2012 APT Demistified 3/2

0

Di cosa si parlerà

• Demistificazione delle Minacce Avanzate e Persistenti (APT). Timeline dei principali attacchi rilevati, modelli di infezione adottati e analisi dei costi

• Vulnerabilità non «Avanzate» che minano la Sicurezza delle reti delle aziende Italiane. Troppo spesso queste vulnerabilità sono poco considerate, sottovalutate o non conosciute

• Dell’impato sulla Sicurezza causato da tecniche e tools noti da almeno 10 anni

• Contromisure da adottare per difendersi dalle Minacce avanzate e persistenti

15/10/2012 APT Demistified 4/2

0

0-DAY OR NO WAY … ADVANCED PERSISTENT THREAT

15/10/2012 APT Demistified 5/2

0

Gli attacchi sono ad ampio spettro:

•Vulnerabilità note unpatched, 0day, Internet Attacks

•Device infetti (Memorie, USB Stick, Tampered Device) •Vulnerabilità infrastrutturali •Social Engineering, insider agent

L’agente di minaccia esegue una missione:

•La persistenza è intesa come la capacità di poter completare gli obiettivi richiesti quando richiesto.

•Non è detto che venga eseguito costantemente del codice sul sistema attaccato

La minaccia non è costituita solo da malware:

•Dietro ai malware c’è un gruppo organizzato di persone motivate, organizzate e ben finanziate che compiono azioni all’interno dell’infrastruttura attaccata (data exfiltration, sabotaggio, intelligence, …)

Advanced Persistent Threats

ADVANCED

PERSISTENT

THREATS

15/10/2012 APT Demistified 6/2

0

APT Timeline eventi più significativi

15/10/2012 APT Demistified 7/2

0

Anatomia di un attacco

Malware Deployment

•Network Attack •Social Engineering

•Rogue Devices

Setup C&C Communications

C&C Control

•Ricognizione

•Furto di documenti •Sabotaggio •Spionaggio

•Denial Of Service

Persistenza nel perimetro

•Diffusione su altri sistemi all’interno dell’infrastruttura

•Occultamento

15/10/2012 APT Demistified 8/2

0

Stuxnet, stima dei costi

15/10/2012 APT Demistified 9/2

0

LE MINACCE ITALIANE CHI HA PAURA DEGLI APT ?

15/10/2012 APT Demistified

10/2

0

Ha davvero senso preoccuparsi ?

• La tipica Azienda o Organizzazione Italiana è ben lontana da dover temere le minacce di questo tipo

• Poiché la Sicurezza è vista troppo spesso soltanto come un costo, non sono implementate le contromisure necessarie a garantirne un livello adeguato rispetto ai processi aziendali

• Nelle slide successive saranno riportati alcuni esempi di Insicurezza Aziendale riscontrati nel corso delle attività di PenTest effettuate nel 2012

• Le Aziende di altri paesi non sono molto diverse in termini di sicurezza (basta pensare ad RSA, Stratfor, Sony, ecc.)

15/10/2012 APT Demistified

11/2

0

«NON È POSSIBILE DALL’ESTERNO ARRIVARE IN QUESTO PUNTO DELLA RETE»

INSICUREZZA DELLA RETE FISICA

15/10/2012 APT Demistified

12/2

0

Metodi per l’accesso fisico

• Per accesso fisico ad una rete in genere si intende l’accesso effettuato utilizzando il cavo di rete attestato sull’infrastrutura aziendale

• Un’estensione dell’accesso fisico avviene per mezzo delle tecnologie wireless o di accesso remoto

• Per garantire la sicurezza della rete bisogna garantire la sicurezza

• Dei canali fisici per l’accesso alla rete

• Dei locali e infrastrutture che consentono di accedere ai canali fisici della rete

15/10/2012 APT Demistified

13/2

0

(in)sicurezza dei locali

15/10/2012 APT Demistified

14/2

0

(in)sicurezza della rete ethernet

15/10/2012 APT Demistified

15/2

0

(in)sicurezza di altri accessi wired

• Cavi «dismessi»

• Rack aperti

• Grovigli di cavi

• Wall-Plug

• Esistono i vampiri ? Sicuro, ma l’aglio non serve J

15/10/2012 APT Demistified

16/2

0

(in)sicurezza degli accessi wireless

• Wifi 802.11*

• Open Network

• Weak Crypto / Pass-phrase deboli

• WPA Generated Key, quanti la cambiano ?

• Guest Network

• GPRS\UMTS APN

• Closed User Group questo sconosciuto

• TEST\TEST non si nega a nessuno

• Other RF (Bluetooth, Zigbee, Custom RF)

15/10/2012 APT Demistified

17/2

0

(in)sicurezza degli accessi legacy

15/10/2012 APT Demistified

18/2

0

«LA NOSTRA RETE È SICURA: ABBIAMO FIREWALL, IDS, IPS, …»

INSICUREZZA DELLA RETE LOGICA

15/10/2012 APT Demistified

19/2

0

Principi di design di una rete sicura

• Gli apparati di rete impiegati devono essere dimensionati correttamente

• La rete, oltre che per questioni legate alla sicurezza, deve essere segmentata

• I protocolli di rete non necessari per gli utenti, non devono essere esposti sulle reti dove essi sono attestati

15/10/2012 APT Demistified

20/2

0

Questa è la nostra rete

• 2 Router, 1 Firewall ed un pizzico di follia J

• Il router «Internet PRIV» instrada le VPN oltre al traffico internet generico

• Un agente di minaccia può occuparsi degli attacchi senza doversi preoccupare delle contromisure

15/10/2012 APT Demistified

21/2

0

Switch in Fail Open

• Per garantire la continuità operativa gli switch, in determinate condizioni di «stress», iniziano ad operare come se fossero degli hub

• Non sempre questo comportamento è determinato da azioni compiute da un agente di minaccia

• Microsoft, misconfigured, NLB cluster

• Troppi Client\Server attestati sull’infrastruttura

15/10/2012 APT Demistified

22/2

0

Man in the middle

• Nei primi anni 2000 sono stati svilupati degli attacchi diretti alle reti switched che consentono di poter intercettare il traffico

• Negli anni seguenti sono state sviluppate le contromisure necessarie a proteggere le reti da questi attachi

• Nel 2012 riscontriamo che …

15/10/2012 APT Demistified

23/2

0

Man in the middle

• Non è cambiato niente

http://blackhats.it/it/papers/Slides-mitm.pdf

15/10/2012 APT Demistified

24/2

0

Protocolli di gestione della rete

• Sistemi di asset management cercano, OVUNQUE SULLA RETE, i dispositivi per mezzo delle community SNMP

• Repository delle configurazioni degli apparati di rete, e di sicurezza, non adeguatamente protetti

• Le configurazioni includono password, community SNMP, subnet e altre informazioni utili per portare a termine attacchi strutturati all’interno dell’infrastruttura attaccata

15/10/2012 APT Demistified

25/2

0

«I NOSTRI PROGRAMMATORI SONO DEGLI EX HACKER CHE ORA SONO BUONI»

INSICUREZZA NEL MONDO DELLE APPLICAZIONI

15/10/2012 APT Demistified

26/2

0

(in)sicurezza nel software

Il mio codice funziona meglio di quello nella

libreria

o

Conoscevamo già quella

vulnerabilità

Quello non è un bug, è una

feature

Carenze nei meccanismi di validazione e

neutralizzazione dell’input

Controllo d’accesso … Client Side

Password in chiaro

15/10/2012 APT Demistified

27/2

0

Protezione offerta dagli anti virus

• msfpayload windows/meterpreter/bind_tcp X > moca_x86_tcp_4444.exe

15/10/2012 APT Demistified

28/2

0

Protezione offerta dagli anti virus

• msfpayload windows/x64/meterpreter/bind_tcp X > moca_x64_tcp_4444.exe

15/10/2012 APT Demistified

29/2

0

Il problema degli anti virus

• Stando alle risposte ricevute dai vendor, questo comportamento non può essere considerato una vulnerabilità, in quanto mancano soltanto le signature

• Sebbene la risposta sia formalmente corretta, il fatto che gli antivirus non riescano ad identificare minacce a 64 bit costituisce una vulnerabilità

• The truth is, consumer-grade antivirus products can’t protect against targeted malware created by well-resourced nation-states with bulging budgets. They can protect you against run-of-the-mill malware: banking trojans, keystroke loggers and e-mail worms. But targeted attacks like these go to great lengths to avoid antivirus products on purpose – Mikko Hypponen

15/10/2012 APT Demistified

30/2

0

«L’UNICO RISULTATO OTTENIBILE FACENDO DEI SISTEMI A PROVA DI IDIOTA, È QUELLO DI SFIDARE DIO A FARE DEGLI IDIOTI PIÙ IDIOTI DI PRIMA»

MINACCE PERSISTENTI REALI

15/10/2012 APT Demistified

31/2

0

Il fattore umano

15/10/2012 APT Demistified

32/2

0

Il fattore umano

• Un utente medio riesce a clickare più velocemente di quanto riesca a pensare

• Per quanto ci si sforzi di fare security awarness, dato un subset di cose da non fare, gli utenti le faranno

• Data una limitazione imposta per ragioni di security, gli utenti troveranno un modo per bypassarla