Analisi di sicurezza
della postazione PIC operativa
Primi risultati della Risk Analysis tecnica e proposta di
attività per la fase successiva di Vulnerability Assessment
TSF S.p.A.
00155 Roma – Via V. G. Galati 71
Tel. +39 06 43621
www.tsf.it
Società soggetta all’attività di Direzione e
Coordinamento di AlmavivA S.p.A.
20 Novembre2008
Metodologia
Rischio  P  I
 P = Probabilità di Accadimento
 quantificazione statistica degli eventi storicamente accaduti
 valutazione dello skill necessario ad un hacker per sfruttare la vulnerabilità
 I = Impatto (relativo ad Integrità, Disponibilità e Confidenzialità)
 quantificazione asettica delle implicazioni a cui potrebbe dare luogo lo sfruttamento
della vulnerabilità
 valutazione del cliente in merito all’importanza dell’asset a cui la minaccia si riferisce
3
Variazioni rilevanti occorse
Sulla postazione PIC operativa




possibilità di eseguire il browser internet explorer
possibilità di lanciare l’eseguibile RunAs sviluppato ad hoc
possibilità di accedere al servizio OWA per la posta elettronica
possibilità di accedere ai portali lineadiretta.gruppofs.it e portalerfi.rfi.it
Sul firewall

Aggiunta regola per l’accesso a LineaDiretta
Sul dominio

Aggiunta di RunAs, iexplore, nella whitelist degli eseguibili ammessi
Sul router

Nessuna variazione
Sul server OWA e sui portali indicati

Nessuna variazione
4
Controlli ISO-27001 applicati
Controllo ISO
A.6.1.8
(organizzativo)
A.12.6.1
(tecnologico)
Variazione o Consiglio
E’ specificato nel controllo che verranno effettuate delle verifiche sia di rete
che applicative. Le prime sono già programmate, le seconde non ancora (in
riferimento all’eseguibile runas sviluppato ad hoc).
Si evidenzia come siano previsti dei test di capacity per rilevare eventuali
A.10.3.1
problematiche di performance e/o colli di bottiglia. In questo caso, l’accesso
prima non esistente da parte delle postazioni operative PIC verso OWA,
portale RFI e LineaDiretta potrebbe generare del traffico non previsto.
A.10.10.1
Si sottolinea come sia necessario integrare il tracciamento via log, anche per
A.10.10.4
le nuove funzionalità a cui le postazioni PIC avranno accesso.
A.11.1.1
A.11.4.1
A.12.3.1
Le politiche di controllo accessi legate a requisiti di sicurezza e di business
sono variate e quindi occorrerà rendere evidenza cartacea del fatto.
Sono da aggiungere dei nuovi target all’insieme di quelli previsti come
destinazioni raggiungibili dalle postazioni.
Viene menzionato il solo utilizzo di canali SSL mentre in realtà l’accesso alle
nuove funzionalità può avvenire anche su canale in chiaro http.
5
Controlli ISO-27001 non applicati
Controllo
Variazione o Consiglio
ISO
In questo controllo non applicato viene specificato che nessuna
A.10.7.1
postazione è dotata di supporti rimovibili. Non è chiaro se si tratti
di blocchi garantiti da configurazione oppure dalla assenza fisica
delle porte.
A.10.8.4
Con le evoluzioni relative ad OWA, il canale di posta dovrà essere
A.12.5.4
considerato come possibile fonte di data leakage.
A.11.5.5
Il timeout per le sessioni ora è applicato al sistema di posta OWA.
A.12.2.3
Da rivalutare qualora non si ritenga più la rete PIC “logicamente
separata” da tutte le altre.
6
Potenziali vulnerabilità (1)

V01 – Esecuzione di script via browser

causare sulla postazione operativa PIC l’esecuzione di ActiveX o di altra tipologia
di malware interpretabile ed eseguibile dal browser

V02 – Esecuzione di codice via browser

causare sulla postazione operativa PIC l’esecuzione di un codice arbitrario che
sfrutta vulnerabilità presenti nel browser e nelle sue eventuali estensioni

V03 – Esecuzione di macro excel

causare sulla postazione operativa PIC l’esecuzione di macro dannose attraverso
l’utilizzo di una versione vulnerabile del tool Excel

V04 – Canale di posta

utilizzare il canale di posta come vettore di iniezione di malware, attraverso
internet explorer e excel (i due eseguibili inseriti nella whitelist delle group policy)
7
Potenziali vulnerabilità (2)

V05 – Regola firewall per LineaDiretta


raggiungibilità del portale LineaDiretta da parte di tutta la rete 10
V06 – Canale in chiaro

per tutti i target indicati esiste la possibilità di comunicare in chiaro attraverso il
protocollo http

V07 – Manipolazione dell’autenticazione

effettuando azioni di reverse engineering e di debug dell’esecuzione del codice
custom RunAs si potrebbe manipolare l’autenticazione bypassandola oppure
impersonificando un altro utente

V08 – Configurazione proxy

è possibile utilizzare il browser delle postazioni web, senza passare da un
proxy, per raggiungere tutta la rete 10.*
8
Cosa manca: quantificazione Probabilità e Impatto
Valore della
Vulnerabilità
Storico
Skill
Probabilità di
Accadimento
V01
Medio
V02
Alto
V03
Medio
V04
Alto
V05
Basso
V06
Medio
V07
Alto
V08
Basso
Valore Impatto
Vulnerabilità
Asettico
Impor
per Integrità,
tanza
Disponibilità e
Confidenzialità
V01
Basso
V02
Basso
V03
//
V04
Medio
V05
//
//
//
//
//
V06
//
//
//
V07
Alto
V08
//
//
//
9
Cosa manca: quantificazione rischio e accettazione
Valore del Rischio
Vulnerabilità
Probabilità di
Impatto relativo
di Integrità,
Accadimento
alla integrità
Disponibilità e
Confidenzialità
V01
V02
V03
V04
V05
V06
V07
V08
Accettazione del rischio
Mitigazione del rischio
10
Proposta di Vulnerability Assessment
A.
Controllo dell’effettiva blindatura delle postazioni operative PIC in merito alla whitelist
di eseguibili lanciabili dall’operatore
B.
C.
D.
E.
Controllo dello stato di aggiornamento e di hardening della postazione operativa “tipo”
Test di raggiungibilità DALLA postazione operativa PIC
Controllo dei processi attivi e delle porte aperte sulla postazione operativa “tipo”
Test di verifica dell’effettiva protezione da malware della postazione operativa PIC
attraverso l’invio di un set di mail malevole ad hoc (virus molto datato, virus molto
recente, attachment zip con password, macro excel, virus excel, spyware)
F. Vulnerability assessment sul server OWA
G. Test di raggiungibilità della postazione operativa PIC dalla VPN Verde
H. Raggiungibilità del CED RFI attestandosi con un portatile nella stessa rete della
Postazione operativa PIC
I.
Verifica della possibilità di effettuare reverse engineering sul codice RunAs sviluppato
ad hoc e conseguente verifica della possibilità di effettuare manipolazioni
dell’autenticazione.
11