Esempi pratici di in-sicurezza dei sistemi e delle informazioni Relatore: Cyber Security e sicurezza delle informazioni Bolzano, 11 dicembre 2015 TIS innovation park Igor Falcomatà Chief Technical Officer [email protected] Partner commerciale: Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 http://creativecommons.org/licenses/by-sa/2.0/it/deed.it © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 1 about: aka “koba” • attività professionale: •analisi delle vulnerabilità e penetration testing •security consulting •formazione • altro: •sikurezza.org •(f|er|bz)lug free advertising > Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 2 a long time ago, in a conference far away... Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 3 “Vulnerabilità semplici in infrastrutture complesse..” Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 4 ..e oggi ? Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 5 http://hackingstuffs.com/2012/10/12/warning-zombies-ahead-road-sign-board-hacked/ Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 6 Esempio: interfacce di amministrazione esposte Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 7 Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 8 Mi ricorda qualcosa... Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 9 Interfacce di amministrazione esposte (SCADA edition) Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 10 https://www.shodan.io/ Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 11 http://threatpost.com/open-serial-port-connections-to-scada-ics-and-it-gear-discovered Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 12 Interfacce di amministrazione esposte (CLOUD edition) Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 13 Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 14 Ma che davéro? Nel 2015? Sì davéro nel 2015. Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 15 Interfacce di amministrazione esposte (LAN edition) Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 16 Facile: # nmap sS 192.168.1.0/24 google: qualcosa +default +password Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 17 Esempio: traffico non protetto Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 18 https://www.ssllabs.com/ssltest/ Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 19 Esempio: good ole web (application vulnerabilities) Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 20 https://xkcd.com/327/ Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 21 Voi non ci crederete.. (non ci credevo neanche io..) nel 2015.. su Internet.. Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 22 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 23 Autorizzazioni: https://www.example.com/app?id=1 https://www.example.com/app?id=n WAF? Se la business logic è rotta, la (sicurezza della) applicazione è rotta Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 24 Esempio: wireless troppo ospitali Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 25 Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 26 Esempio: client-side attacks Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 27 Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 28 (Click) Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 29 Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 30 Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 31 Game Over! thnxs/credits: unknow + [email protected] Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 32 Instant replay: exploit web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall dep. server access point utente remoto desktop desktop utente remoto desktop wifi user VPN gw dep. server desktop desktop Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 33 wifi user Instant replay: pivoting web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall dep. server access point utente remoto desktop desktop utente remoto desktop wifi user VPN gw dep. server desktop desktop Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 34 wifi user Esempio: (s)compliance Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 35 Teoria: Azienda “non IT” ● Fatturato ~50 mln € /anno ● ISO 27002 ● Focus su backup, change management, segregation of duties, password e accessi ● Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 36 Pratica: Da “porta di rete” a Domain Admin in 10 minuti ● Accesso all'AS400 con password guessing (o Man In The Middle) ● Accesso non autenticato/default a UPS, storage, stampanti, marcatempo, switch, remote mngt, .. ● Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 37 Per concludere.. Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 38 Mini-SelfAssessment: nmap sS A T4 p x.x.x.x/yy ● non “fidarsi” di fornitori, sviluppatori, colleghi, .. ● comprendere lo strato tecnologico sottostante.. ● Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 39 audit != VA != PT PT attività principalmente artigianale ● “sfortunatamente” conta molto l'esperienza ● alla fine della fiera.. ● Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 40 Domande? Relatore: Cyber Security e sicurezza delle informazioni Bolzano, 11 dicembre 2015 TIS innovation park Igor Falcomatà Chief Technical Officer [email protected] Partner commerciale: Cyber Security e sicurezza delle informazioni - TIS, Bolzano, 11 dicembre 2015 http://creativecommons.org/licenses/by-sa/2.0/it/deed.it © Igor Falcomatà <[email protected]>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 41
Scarica
