Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac`

Slides:



Advertisements
Presentazioni simili
SIMULAZIONE RETE INTERNET INTERNET SERVICE PROVIDER GRUPPO 2 COMMESSA – INFORMATICA GRANATA Corso Sicurezza su Reti II Prof. A. De Santis Anno Accademico.
Advertisements

Corso Drupal 2013 Andrea Dori
Tecnologie dell'informazione e della comunicazione - Stacey S. Sawyer, Brian K. Williams Copyright © The McGraw-Hill Companies srl “Le sfide dell’era.
Interazione col DB Per interagire con una base dati da una pagina PHP occorre procedere come segue: Eseguire la connessione al DBMS MySQL in ascolto;
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Master Manager della sicurezza informatica Marco E.
Aggiornamento attività gruppo Windows Gian Piero Siroli, Dip. di Fisica, Univ. di Bologna e INFN CCR, Giugno 2009.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico
La sicurezza dei sistemi informatici Introduzione alla Sicurezza Giuseppe Guerrasio “HACKER: A person who.
Giuditta Cantoni, 4 E S.I.A I DATABASE. Definizione databese In informatica, il termine database, banca dati o base di dati (a volte abbreviato con il.
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
LTSP (Linux Terminal Server Project) GNU/Linux ed Workshop di Enrico Teotti powered with Gentoo Linux Linux Day LUG Mantova.
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
Fabrizio Felici Linux e Windows a confronto, perché passare a Linux 27 ottobre 2007.
Slackware Linux Project Italia 25 ottobre 2008Linux Day Napoli Francesco Mormile Introduzione alla sicurezza informatica Andrea `insomniac` Barberio.
LinuxDay 2009, Trento Navigare e usare la posta elettronica con consapevolezza Gianluca Ciccarelli, LinuxTrent
“Non c’è nessun buon motivo per il quale ogni persona nel mondo debba possedere un computer”- Kenneth Henry Olsen. (una delle frasi più sbagliate nella.
Sicurezza e crittografia asimmetrica ● Info su redsh.wordpress.com/corso-linux ●
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Trusted Computing: Ecco il tuo Futuro Antonio Angelotti.
La sicurezza dei sistemi informatici Sistemi di Autenticazione e Directory Giuseppe Guerrasio “Sapere dove.
Programmazione sicura in PHP
Sistemi e Applicazioni per l’Amministrazione Digitale
Configurazione Router IR794- IG601
Corso per Webmaster base
IL SOFTWARE (FPwin 6.0).
NAT, Firewall, Proxy Processi applicativi.
Vulnerability Assessment
VI Giornata Nazionale Di Gnu/Linux E Del Software Libero
Crea il tuo sistema aziendale sul web a partire dei fogli Excel che usi. ShareXLS
Summary di (quasi) tutti gli utenti non presentati…
La comunicazione scritta
Le pubblicazioni 2004/5 sulle TLC
assessora Waltraud Deeg
Applicazione web basata su web service e web socket
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
Presentazione dei nuovi sviluppi software
Cloud per HA nei Servizi
La sicurezza informatica
Sicurezza e Grid Computing
Giordano Scuderi Unico SRL Catania
Job Application Monitoring (JAM)
ai termini e ai principi informatici utili per utilizzare Linux
OLPC-Italia Brescia 16 Ottobre 2008.
* Il Sistema Operativo GNU/Linux * Sistema Operativo e Applicazioni
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
UML Creato da: Enrico Tarantino Alessandro Vilucchi Roberta Barcella.
Managed Workplace RMM Il monitoraggio e la gestione da remoto (Remote Monitoring and Management) resi semplici. Ottieni gli strumenti e le conoscenze necessarie.
Organizzare, gestire e proteggere i laboratori informatici
analizzatore di protocollo
Amministratore di sistema di Educazione&Scuola
Organizzazione di una rete Windows 2000
Introduzione alle basi di dati
Smart City.
Introduzione alla materia sistemi
Il caso d’uso “Data On Travel”
Concetti introduttivi
© 2007 SEI-Società Editrice Internazionale, Apogeo
Introduzione alla nuova versione di PowerPoint
ADO Per gestire i database con tecnologia ASP si utilizzano strumenti ADO (ActiveX Data Objects): un'architettura che fornisce oggetti.
Firewalling.
Introduzione alla nuova versione di PowerPoint
© 2007 SEI-Società Editrice Internazionale, Apogeo
Introduzione alla nuova versione di PowerPoint
Total Protect Servizio di cyber security.
Il cloud: dati e servizi in rete
IT SECURITY Sicurezza in rete
UNIVERSITÀ DI MODENA E REGGIO EMILIA
CLOUD.
Transcript della presentazione:

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac` Barberio Francesco `shiva` Mormile Slackware Linux Project Italia

25 ottobre NaLUGLinux Day Napoli Andrea Barberio Argomenti * Scopo di questo talk * Frasi famose * Hacker? Cracker? * Trade-off, good, bad & best practices * Categorie di vulnerabilita' * Tipologie di attacco * Metodologie di difesa * Analisi delle vulnerabilita' * Contatti * E dopo...

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Scopo di questo talk Lo scopo del talk non e' insegnare le piu' comuni tecniche di attacco e di difesa, ma far comprendere che la sicurezza informatica ci coinvolge in ogni momento, e che gli attori protagonisti siamo proprio noi.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Frasi famose * La sicurezza non è un prodotto, ma un processo. * La robustezza di una catena è data dalla robustezza del suo anello più debole. * Tutto ciò che non è esplicitamente permesso, è vietato. * L'unico sistema sicuro è un sistema spento, scollegato dalla rete, chiuso in una cassaforte e posto in fondo all'oceano. E anche in quel caso non sarei così sicuro.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Categorie di sicurezza * Sicurezza fisica ** Controllo degli accessi ** Sistemi di videosorveglianza ** etc.. * Sicurezza logica ** Attacchi ad applicazioni e protocolli ** Accertamento di rischi e vulnerabilita' ** Metodologie di difesa ** etc.. Noi ci occuperemo di sicurezza logica

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Il profilo di un hacker (1/2) E' un individuo brillante, una sorta di genio dell'informatica. Lo si profila romanticamente come un curioso, capace di effettuare sofisticati attacchi, a patto di non causare danni, rubare informazioni o infrangere la confidenzialita' dei dati. Spesso si sente usare un'etichetta commerciale molto di moda, l' “hacker etico”.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Il profilo di un hacker (2/2) In realta' l'accezione migliore e' quella che vede l'hacker come una persona profondamente esperta nel proprio settore, capace quindi di inventare soluzioni e risolvere problemi nel miglior modo possibile. Un esempio e' il kernel hacker.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Il profilo di un cracker In teoria ha le skill di un hacker (secondo la prima accezione), ma ha scopi diversi, solitamente malevoli, spesso legati al profitto. In realta' la maggior parte dei cracker non e' ne' esperta ne' sofisticata. Sono ugualmente pericolosi, poiche' fanno un uso irresponsabile delle tecnologie. E' da entrambe le categorie che dobbiamo difenderci.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio L'eterno compromesso La sicurezza ha un costo notevole. Sia economico, sia funzionale. Sicurezza Funzionalita' | | | Costi E' importante sapere bene in che punto collocarsi.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Good, bad & best practices (1/2) Ogni giorno un cracker si sveglia e sa che dovra' essere piu' furbo del sistemista. Ogni giorno un sistemista si sveglia e sa che dovra' essere piu' furbo del cracker. Non importa che tu sia cracker o sistemista, l'importante e' fregarlo.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Good, bad & best practices (2/2) E' importante la sicurezza dei sistemi e delle applicazioni, ma da sola non basta. Occorre una educazione alla sicurezza per gli utenti dei sistemi, altrimenti saranno essi gli anelli deboli della catena. La consapevolezza e' l'unica risposta efficace alle minacce informatiche.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Vulnerabilita' (1/3) Sono delle condizioni di errore nei software che possono condurre a funzionamenti indesiderati. Non esiste una categorizzazione ufficiale, ma possiamo osservare le vulnerabilita' sotto diversi aspetti.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Vulnerabilita' (2/3) Ad esempio, in base alla localita': * locali * remote In base alle pre-condizioni: * account required * user assisted

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Vulnerabilita' (3/3) In base all'effetto: * Denial of Service (DoS) e Distributed DoS (DdoS) * Privilege escalation * Information stealing In realta' ci sono molte altre possibili prospettive.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Insidie comuni * Servizi avviati ma non necessari * Applicazioni installate non necessarie * Password semplici * Reti con configurazioni di default * Sistemi con configurazioni non orientate alla sicurezza * Mancato uso della crittografia, in applicazioni e protocolli Ma il pericolo maggiore viene sempre dall'interno.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Raccolta delle informazioni * Informazioni ottenute dai DNS e dal Whois database * Banalmente (ma non troppo), siti web * Port scanning * Vulnerability scanning * OS fingerprinting * Web Archive, Web cache * Social engineering * etc

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Esempi di attacchi diffusi (1/6) * Keylogging (hardware o software) * Sniffing dei dati * Tracciamento delle applicazioni

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Esempi di attacchi diffusi (2/6) * Corruzione della memoria: e' possibile leggere o scrivere nelle aree di memoria delle applicazioni vulnerabili. Effetti: accesso a informazioni riservate, controllo parziale o totale del sistema. Esempi: * stack/heap/BSS overflow * format string bug * integer overflow/underflow * /dev/mem e /dev/kmem

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Esempi di attacchi diffusi (3/6) * Wi-Fi cracking: e' possibile trovare la chiave di crittografia utilizzata dalle reti protette, a patto che siano rispettate determinate condizioni. Esempi: * Korek attack (WEP, debolezza di RC4) * Attacchi con dizionario * Forced reauthentication attack

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Esempi di attacchi diffusi (4/6) * Attacchi lato web: Sono attacchi che sfruttano il web per estrarre informazioni protette o ingannare l'utente. Esempi: * Phishing * Cross site scripting (XSS) * Cross Site Request Forgery (CSRF) * Clickjacking * SQL injection * SQL column/charset truncation

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Esempi di attacchi diffusi (5/6) * Man in the middle: sono attacchi mirati all'inserimento dell'attacker nel flusso di una comunicazione, allo scopo di leggere informazioni potenzialmente interessanti. Esempi: * ARP cache poisoning * DHCP spoofing * DNS spofing * SSH Mitm (solo SSHv1)

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Esempi di attacchi diffusi (6/6) * Denial of Service (DoS): sono mirati all'interruzione dei servizi, tramite sovraccarico della rete o delle applicazioni stesse. Esempi: * Syn flood * Smurf (ormai datato) * Distributed DoS * Recenti bug di IOS, Wireshark, Postfix, etc...

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Occultamento nel sistema Dopo aver compromesso un sistema, e' necessario mantenerne il controllo. Esempi: * rootkit (user space e/o kernel space) * tecniche anti-analisi forense * covert channel * steganografia

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Panoramica sulle tecniche di difesa (1/3) Password robuste, password ovunque. Certificati a chiave pubblica. Crittografia dei dischi, dello swap space e delle sessioni di rete (ad es., VPN). Configurazioni restrittive dei servizi, permessi e ownership robusti, firewalling statico e dinamico, IDS/IPS. Separazione dei contesti, virtualizzazione, separazione fisica delle macchine.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Panoramica sulle tecniche di difesa (2/3) Protezione dal DLL hijacking. Uso di strumenti come Pax/GRSec, SeLinux, Capabilities. Stack protector, Address Space Layout Randomization (ASLR). Strumenti di ricerca dei rootkit, analisi di /proc. Autenticazione biometrica, smart card, dispositivi di memorizzazione, coppie di chiavi pubblica/privata.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Panoramica sulle tecniche di difesa (3/3) Protezione dai Mitm (ArpON). Covert channel (si', anche per difendersi). Analisi dinamica dei log, con alerting in tempo reale. Syscall tracing, I/O tracing.

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> SELECT ('admin' = 'admin '); | ('admin' = 'admin ') | | 1 |

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> create database lorian; mysql> use lorian mysql> create table utenti ( -> id int not null auto_increment, -> user varchar(16) not null, -> pass varchar(64) not null, -> primary key (id) -> ) Engine=InnoDB;

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> insert into utenti (user, pass) -> values -> ('admin', -> 'secret'); mysql> insert into utenti (user, pass) -> values -> ('admin x', -> 'not_so_secret');

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> select * from utenti; | id | user | pass | | 1 | admin | secret | | 2 | admin | not_so_secret |

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> select * from utenti -> where user = 'admin'; | id | user | pass | | 1 | admin | secret | | 2 | admin | not_so_secret |

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation Come difendersi? Trattare questo tipo di warning come errore (sql-mode = STRICT_ALL_TABLES). Controllare la lunghezza dell'input PRIMA di fare la query al database. Evitare le configurazioni di default...

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation Riferimenti: * mysql-and-sql-column-truncation-vulnerabilities/ *

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Contatti Andrea `insomniac` Barberio Francesco `shiva` Mormile

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio Domande & Risposte (ma senza esagerare)

Slackware Linux Project Italia 25 ottobre NaLUGLinux Day Napoli Andrea Barberio E poi... Dimostrazione pratica di attacchi, difesa e analisi nella sala dei workshop.