LAUDITING DI SICUREZZA SU WEB SERVER, FIREWALL, GATEWAY. Tecniche, strumenti, criticità e case histories internazionali. LUCA EMILI, CIO RODOLFO ROSINI, CEO E*MAZE Networks SpA
E*MAZE in breve E*MAZE nasce nel Novembre 2000 da precedenti esperienze nel mondo IT / SecurityE*MAZE nasce nel Novembre 2000 da precedenti esperienze nel mondo IT / Security Tra i soci è presente MB Venture Capital Fund di Alice VenturesTra i soci è presente MB Venture Capital Fund di Alice Ventures Organico di 22 persone con alta specializzazione di securityOrganico di 22 persone con alta specializzazione di security E la prima azienda in Italia a sviluppare soluzioni di security scanningE la prima azienda in Italia a sviluppare soluzioni di security scanning Associazioni con enti di rilevanza mondiale (CERT)Associazioni con enti di rilevanza mondiale (CERT)
Alice Ventures fa parte del Venture Capital Project di Mediobanca, SDA Bocconi e del Politecnico di Milano. Il fondo è sponsorizzato dalle principali aziende italiane Finanziatori
DNS (Domain Name System) 80% Macchine DNS BIND VULNERABILITA A SPOOFING ATTACKS tramite:SPOOFING ATTACKS inserimento di bogus additional data errata configurazione CNAME accettazione di spoofed responses CASO: Microsoft Corp.Microsoft Corp. eBay
Il caso eBAY Gennaio 2001 Accesso dei visitatori limitato alla homepage e allelenco delle categorie Blocco dellaccesso alle singole aste Impossibilità di collocamento di offerte Blocco dellaccesso al list items Problemi ai primary e backup systems
Esempio di attacco spoofing su DNS Fonte: ACME Byet & Wire LLC
I rischi del DNS spoofing Le comunicazioni riservate tra due aziende, volte allo sviluppo comune di un nuovo prodotto o progetto potrebbero essere intercettate da una concorrente.
Il caso Microsoft (Gennaio 2001)
Il rischio di single point of failure con il DNS Unindagine sulle società Fortune 1000 con single point of failure analoga a quella di Microsoft Fonte: Men&Mice, 2001 e su COM
I rischi di non limitare i zone transfers Impedito ai potenziali intruder di visualizzare la lista dei potenziali target interni. RISCHIO: bloccato il zone trasfer solo su alcuni server (percezione apparente di sicurezza) transfer consentito su tutti i server (60.46% dei casi) (visibilità
Precauzioni da adottare Aggiornare costantemente il Name Server Restringere i zone transfers (slave e primary masters) Autenticare i zone transfers con le transaction signatures (TSIG) Limitare gli aggiornamenti dinamici Restringere le recursive queries Disabilitare il glue fetching Splitting dei servizi dei name server (in advertising e resolving name servers)
Numero di incidenti registrati (18/9/01) Fonte: Security Focus 2001 Incremento massiccio degli attacchi web-based contro web- server.
Principali tipi di attacchi registrati (18/9/01) Fonte: Security Focus 2001
PROBLEMI DI CONFIGURAZIONE DEI WEB SERVER PATCHING Il mancato o inadeguato patching delle macchine è stato responsabile del 99% dei web site defacements del 2000 (+56% rispetto ai del 1999) in base ai dati di Attrition.org
Perche web server? Stats traffico in % porta 80 : il male necessario Unita di successo : imprese Problema : defacement Attrition : 3*( )= 1 gennaio 01 Script Kiddies : unita di successo = defacement
Come trovare debolezze Operazioni legittime mirror sito trovare directory, file e valori nascosti analisi CGI CGI abuse Non esitono tools per fare auditing automatico di CGI proprietari
Ma io ho il Firewall!!! Porta 80 Avere policy restrittiva Server visibili isolati dal dominio no bells & whistles logs, more logs & secure logs
(Mis)configurazioni Firewall non iniziare connessioni dalla rete locale verso lesterno no FTP, no UDP* occhio ai toolbox! solo
Trend futuri Attacchi semantici Domain spoofing ( Motori di ricerca, P2P (Google, GNUtella) Worm, multi-target (buone notizie, vivono di meno) Zero responsabilita
Contatti LUCA EMILI RODOLFO ROSINI © E*MAZE Networks SpA