CORSO SICUREZZA RETI ARGOMENTI Sicurezza base: La sicurezza informatica nell’azienda connessa Wireless security: configurazione router wireless, crittografia WEP e WPA – Sicurezza WLAN Internet:consigli per una navigazione sicura E-mail - Ricerca - Download – Superare i blocchi con i proxy – navigazione anonima Sicurezza host: dati sensibili e password Testare la rete LAN: porte aperte su server, stampanti condivise, dati personali visibili. Controllo remoto: legale e non Testare la WAN: Google Hacking Prof. Vincenzo Ponte Sicurezza Base Minacce di rete esterne ed interne : Le minacce possono essere: Esterne Fatta da individui esterni all’organizzazione che non hanno accessi autorizzati, più difficili da portare a termine in quanto devono superare il firewall del router. Possono entrare solo con connessioni remote autorizzate o non autorizzate. Interne Hacker: può avere accesso ai dispositivi. Conosce quali informazioni sono valide e/o vulnerabili. Il 70% delle violazioni sono interne. RISCHI A CUI SI VA INCONTRO Furto di informazioni: ottenere informazioni confidenziali, raccogliere dati preziosi e ricercati (Password Codici). Vengono denominati “ Attacchi di Social Engineering “ Manipolazione e perdita di dati Furto di identità Attacco DoS ( denial of service) 1) Furto di informazioni Attacchi di Social Engineering (ingegneria sociale): lo studio del comportamento individuale di una persona al fine di carpire informazioni utili. Mente sulla propria identità. Si tratta di tecniche che non sfruttano direttamente eventuali lacune di sicurezza, ma che basano la propria riuscita su attacchi condotti nei confronti di singoli utenti. In che modo * Abilità di qualcuno o qualcosa per influenzare il comportamento di persone. Approfittare della sua buonafede. * Usa ingannare gli user interni per carpire informazioni confidenziali. * L’hacker si avvantaggia di utenti legittimi 1)Furto di informazioni Forme di Social Engineering A) Pretexting: Per contatto telefonico per carpire informazioni confidenziali e guadagnare l’accesso alla rete. B) Phishing: Contatto via email, si spaccia di rappresentare legittimamente l’organizzazione (banca, posta, Admin, ecc). Cliccando sul link allegato al messaggio di posta elettronica, invia ulteriori presunte informazioni,l’utente cade in una botnet, ovvero una rete di computer infettati da trojan o virus che permettono a pirati informatici di controllare il sistema da remoto. I sistemi compromessi vengono poi utilizzati per scagliare attacchi contro altri sistemi in rete o per compiere altre operazioni illegali; C) Vishing: simile al phishing, Voice phishing. Frode condotta mediante circuiti VoIP. Si basa su due fattori: il primo, strettamente tecnologico, fa apparire, sul telefono di chi riceve, un identificativo chiamante di fiducia (Es. banca). il secondo: tecniche di social engineering per convincere il malcapitato a fornire i dati. 1) Furto di informazioni Trashing: ricerca di informazioni di interesse tra la spazzatura. Molti impiegati prendono appunti, annotano password su pezzi di carta che poi gettano nel cestino. 2) Manipolazione e perdita di dati Distruzione o alterazione dei dati archiviati, avviene di solito per opera di un virus o trojan. I dati vengono persi (a volte sono solo nascosti e ripristinati con nomi uguali ma di 0 byte) 3) Furto di identità Furto di dati personali ( data e luogo di nascita, domicilio ecc.). Carpiti da un accesso illegale ad un database, oppure inviati dall’utente stesso durante una falsa registrazione ad un sito o servizio. Verificare, nell’atto dell’inserimento dei dati, che si utilizzi il protocollo SSH ((Secure SHell, shell sicura) è un protocollo di rete che permette di stabilire una sessione remota cifrata. 4) Attacco DoS ( denial of service) Distruzione del servizio: Impedire ai legittimi utenti l’accesso ai servizi. Inonda la rete di traffico e distrugge le connessioni tra client e server Tipi di DoS: SYN flooding: invia una serie di richieste SYN (sincronizzare la connessione) Invia pacchetti con IP non validi e il server cerca di rispondere Ping of death (ping di morte) Pacchetti di dimensioni maggiori del consentito, portano il sistema al crash Tecniche e mezzi di attacco: Virus: sono gli attacchi connotati da maggiore pericolosità, in quanto sono in grado di propagarsi nella rete, cancellare file ed inibire l’uso dei sistemi; una volta avviato si diffonde per modificare altri programmi o file. Non si avvia da solo ma bisogna attivarlo Tecniche e mezzi di attacco: Worms Simile al virus ma non si attacca a un programma esistente. Non richiede attivazione umana. Sono degli exploit che si nascondono in file presi da internet e si propagano nella LAN. Tecniche e mezzi di attacco: Rootkits:è un programma (software) prodotto per avere il controllo sul sistema senza bisogno di autorizzazione da parte di un utente o di un amministratore. I rootkits vengono usati anche per trovare le informazioni personali presenti in un computer e inviarle al mittente del malware ed essere poi utilizzate da esso per scopi personali, come per esempio un keylogger Tecniche e mezzi di attacco: Trojans horse: si tratta di pericolosi malware spesso mascherati da software, utilizzati dagli attaccanti per veicolare e distribuire sulle macchine aziendali codici distruttivi o inviare mail con copie di propri file; Tecniche e mezzi di attacco: Ma cos’è un trojan? In realtà, non è altro che un server RAT (Remote Administator Tool), ossia un software che eseguito su una macchina ne consente la totale amministrazione da remoto (a distanza), in modo del tutto trasparente alla vittima. È chiaro che affinché il RAT funzioni, oltre al server è richiesto un client, che il pirata esegue sul suo PC per mettersi in comunicazione con esso. Tecniche e mezzi di attacco: Backdoor Aprono una o più por te “di servizio” che consentono di superare dall’esterno tutte le misure di sicurezza adottate sul sistema. Utilizzate per prendere il controllo di una macchina. Keylogger Programmi maligni che registrano tutti i tasti premuti da par te dell’utente e ritrasmettono password e dati personali in Rete. Se sul proprio sistema si è rinvenuto un keylogger oppure un virus che integra questa funzionalità, dopo la sua eliminazione è bene provvedere immediatamente alla modifica di tutte le proprie password. Exploit Falle di sicurezza presenti nel sistema operativo e nei software in uso. In Rete pullulano i software che consentono di sfruttarle per far danni (aver accesso al sistema, guadagnare diritti amministrativi, rubare password e così via). Una ragione in più per mantenere i software utilizzati (a partire dal sistema operativo) sempre costantemente aggiornati. Le tecniche di attacco: Attacchi di accesso: sono atti diretti al sistema di autenticazione degli accessi per poter ottenere accesso a dati riservati. Privilege escalation: in italiano scalala dei privilegi, è la tecnica che sfrutta un buco eventualmente presente in un software applicativo utilizzato per la gestione degli accessi, per acquisire l’accesso a risorse protette. Il risultato è che l’attaccante può elevare il proprio livello di accesso al sistema informatico dell’azienda, sino ad arrivare ad acquisire privilegi che gli permettono di operare all’interno del network informatico senza limitazioni o controllo alcuno; La TOP 5 delle fonti di infezioni 1) 2) Pagine internet piratate: drive-by download possibilità di essere infettati semplicemente visitando un sito Web. Software antiquato: nei software più utilizzati,come Adobe Flash Player, sono state riscontrate falle nella sicurezza, che obbligano i produttori ad eseguire aggiornamenti. Aggiornare solo da siti dei produttori. La TOP 5 delle fonti di infezioni 3) Allegati E-Mail 4) Siti file sharing: in particolare contenuti multimediali, giochi e programmi,contenuti erotici. 5) Social network: consigliano la visione di un video eccezionale. Nel link si nasconde un trojan. FALSI ANTIVIRUS: scareware sul Web c’è chi spinge ad acquistare software malevolo spacciandolo per “miracoloso”. Sono degli scareware. FALSI ANTIVIRUS: scareware Nel gergo informatico scareware individua una classe di software dannosi o comunque di limitata utilità la cui installazione viene suggerita agli utenti attraverso tecniche di marketing scorretto o mediante i metodi dell'ingegneria sociale. Una volta installato nel sistema, uno scareware simula il comportamento di un programma legittimo ma a differenza di questo notifica la presenza di problemi inesistenti o di marginale importanza. Il software segnala infine all'utente che per la risoluzione dei problemi individuati è necessario acquistare una licenza d'uso o un codice di attivazione che rappresenta l'ultimo passo per il concretizzarsi della truffa. FALSI ANTIVIRUS: scareware Programmi antivirus, software per ottimizzare o riordinare il disco rigido,tool per la pulizia del registro di configurazione di Windows: sono tutti strumenti che fanno parte della dotazione standard di qualsiasi computer. Non sempre, però,questi software mantengono le promesse del produttore. Dietro un'accattivante interfaccia grafica, i cosiddetti scareware hanno un'unica missione: spillare quanto più denaro possibile alle ignare vittime per consentire al loro produttore dì intascarselo. Per farlo, rendono insicuro l'utente, gli incutono terrore e prendono in ostaggio il suo PC finché non paga il riscatto! Guardia di Finanza Polizia penitenziaria Polizia Postale ecc. FALSI ANTIVIRUS: scareware Fidarsi non sempre è bene II problema è che cadere nella trappola è molto più semplice di quanto si possa immaginare. Ogni giorno sono migliaia gli utenti che si imbattono in scareware credendo di aver trovato il software ottimale in grado di "prendersi cura" del loro computer. In realtà,per cominciare, questi programmi spalancano le porte di comunicazione del sistema ad altri pericolosi malware. Perfino gli utenti che, in materia di sicurezza, si affidano ad antivirus rinomati non possono ritenersi fuori pericolo: esistono infatti moltissime varianti di scareware che, non operando come i comuni virus, passano indenni anche i più rigidi controlli di sicurezza. FALSI ANTIVIRUS: scareware Comportamenti subdoli Ma come fa lo scareware ad installarsi e prendere il possesso del computer? L'organizzazione dei cybercriminali ha ormai raggiunto un'efficienza industriale davvero incredibile. Per adescare le vittime, gli sviluppatori di scareware utilizzano sofisticate tecniche di ingegneria sociale e il loro operato può essere riassunto in tre passaggi principali: creano, innanzitutto, siti Web farcendoli con bollini e riconoscimenti falsi per pubblicizzare aziende inesistenti. Chi si lascia convincere, scarica volontariamente gli scareware; tra le pagine del sito inseriscono, poi, dei banner che promettono software gratuiti per la risoluzione dei tanti problemi riscontrati nel computer in seguito ad una fantomatica scansione del sistema. Solo dopo aver cliccato su uno di questi inserti pubblicitari,l'utente si rende conto che il programma è del tutto inutile; non contenti di aver già tratto in inganno l'utente, i pirati infettano le pagine Web con malware che in background installano ulteriore scareware sul PC. FALSI ANTIVIRUS: scareware Impariamo a difenderci Come dicevamo, lo scareware sfrutta la buona fede degli utenti per compiere le sue azioni truffaldine. Per proteggersi da questa nuova e temibile minaccia è importante, quindi, tenere sempre gli occhi bene aperti e diffidare delle prestazioni fantascientifiche promesse dai finti software di sicurezza. Se poi abbiamo il sospetto che qualche intruso si sia insediato nel nostro computer, effettuiamo subito una scansione con il software Scova Scareware. Evitiamo dì cliccare sui banner pubblicitari sospetti che troviamo nelle pagine Web. Programmi scareware che puoi trovare sul web HDDOCTOR Segnala errori sul disco rigido che in realtà sono del tutto inesistenti. Un fatto sgradevole: fino all'acquisto,HDDoctor blocca altri programmi installati sul PC. La versione completa è venduta a 70 euro. PCFIX2011 Questo presunto software di ottimizzazione assilla l'utente con la segnalazione di pericoli che, in realtà, sono solo piccoli difetti. Il software imita la versione gratuita di CCleaner e viene venduto a 30 euro. INTERNET SECURITY'11 Indica malware completamente inesistenti. Non si può disinstallare e disattiva altri software di sicurezza: rappresenta, quindi, un rischio da non sottovalutare per il nostro PC. La versione completa costa 54 euro. ERROR SWEEPER Si tratta di un'(in)utilità che dichiara pericolose alcune voci innocue contenute nel registro di sistema e trova "errori" anche in PC con Windows completamente nuovi. Viene venduto a 46 euro. LABORATORIO: SCAREWARE Evitare avvio Browser in modalità nascosta: a) Ctrl Alt Canc, verificare se in Processi è avviato il browser. b) Spegnere PC e avviare in Modalità provvisoria c) Portarsi nella cartella Programmi e in Mozilla rinominare firefox (mozilla), idem con iexplore (Internet) d) Riavviare PC e controllare, con Ctrl Alt Canc se sono avviati i browser. e) per avviare i browser, recarsi nella cartella, selezionare l’eseguibile, clic destro “invia a desktop” crea collegamento LABORATORIO: SCAREWARE installiamo uno scareware: da Google scriviamo firefox e scarichiamo da siti non ufficiali. Installiamo Firefox Che casino: installa 2 software nel menù avvio e poi firefox in versione inglese. Mi cambia pagina Internet Explorer. Riavviamo? (sbagliato!) LABORATORIO: SCAREWARE Eseguiamo la pulizia. Disinstallare un programma senza lasciare tracce: Revounistaller Disinstalliamo i programmi sconosciuti Ripristinare pagina avvio browser Se, nonostante si reimposta la pagina, questa cambia, clic destro su icona browser “proprietà eliminare tutto ciò che compare dopo iexplore.exe” Puliamo il registro e il disco da tutte le tracce inutili con ToolwzCare e Win Utility Controlliamo nel menù avvio che non vi siano programmi dubbi. Ultime tracce: avviamo in modalità provvisoria e ripetiamo il punto “Puliamo il registro” LABORATORIO: SCAREWARE installiamo crack per rendere originale windows 7 Scarichiamo ed installiamo windows_7_Genuine_Activator_zip Notiamo subito che il zip non è l’estensione, ma serve ad ingannare. Installando, dopo alcune schermate, non si nota niente, tranne un rallentamento delle prestazioni. Intanto ha installato due programmi: PacFunction e TornTV, e altre cose nascoste(remote control? Facciamo pulizia Disinstallare un programma nascosto E’ stato installato a nostra insaputa: sia con revounistaller che da Pannello di controllo, il programma non compare. Mobogenie è un programma che consente di trasferire dati per sincronizzare il telefono al computer: il fatto è che Mobogenie si installa sul computer senza alcun consenso dell’ utente. Quindi il programma è sicuramente stato impacchettato con un’altra applicazione gratuita che viene installato. Rechiamoci nella cartella del programma e cancelliamola: Mobogenie ci dice che non può eliminare Daemon Process e altri file Avviamo a questo punto in modalità provvisoria: ci permette di eliminare la cartella, ma non è finita. eseguire la pulizia delle tracce: con search registry di Win utility, eliminiamo le chiavi sospette avendo cura di fare prima una copia del registro. PC lento? Nessun problema PC Fix 2011 diagnostica e ripara vari elementi del sistema, come ad esempio il registro di Windows e Internet browser (Internet Explorer, Opera, Google Chrome e Mozilla Firefox). Inoltre, questo fantastico strumento consente di eseguire la deframmentazione del disco, ed ottenere così un sistema più pulito, affidabile e veloce. Il computer può tornare in vita con PC Fix 2011. Non esitate a scaricare subito questo software necessario. Potevamo non scaricarlo? Era meglio di no! Falsi Videoconvertitori si voleva convertire un video registrato con il decoder, il cui formato è DVR. Cercando in Internet abbiamo scaricato alcuni di questi, ecco il risultato: alcuni non permettevano quel tipo di conversione se non a pagamento altri erano limitati nel tempo (30 min. di registrazione), uno in particolare, XviD4PSP, ha installato di tutto, tra cui (Mobogenie). Consiglio: prima di scaricare un software, assicurarsi mediante la rete, che sia quello giusto. Basta, a volte, inserire nella ricerca, il nome del software seguito da spyware ,virus,trojan ecc. Per essere tranquilli, installare prima su di una macchina virtuale Provare un software su VirtualBox: avviare la macchina virtuale, poi, da macchina, crea istantanea. acquisire USB, o scaricare l’applicativo da Internet della macchina virtuale, installare il programma. Se tutto OK passare al PC reale. ripristinare la macchina virtuale: Macchina, chiudi, selezionare “Ripristina istantanea corrente” navigazione anonima e sicura: utilizzando una macchina virtuale per navigare ( quando si è alla ricerca di un crack, software ecc) e poi ripristinarla, si garantisce la riservatezza in quanto non si lasciano tracce della navigazione. Niente Spam, mentre, per quanto riguarda l’anonimato, ricordatevi che siamo sempre memorizzati dall’ ISP. Non facendo riferimenti a caselle di posta personali, a dati sensibili, ecc., quando si ripristina la macchina vengono perse tutte le tracce.