Seminario di Fabio Mignogna. "...è il prelievo, la memorizzazione e l'analisi degli eventi di rete al fine di identificare la sorgente degli attacchi.

Slides:



Advertisements
Presentazioni simili
La sicurezza dei sistemi informatici
Advertisements

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità A1 Introduzione a Java.
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
1 Gestori tecnologici reti Reti Client-Server e Peer to Peer.
INTERNET FIREWALL Bastion host Laura Ricci.
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Mantenimento dello stato Laboratorio Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -
La sicurezza nel mondo Social Network dei
1C2GRUPPO : HELPING1. 1C2GRUPPO : HELPING2 Una rete può essere definita un insieme di nodi dislocati in posti differenti, capace di consentire la comunicazione.
Le reti informatiche!! Le reti di telecomunicazioni hanno permesso una maggior diffusione delle informazioni che possono essere trasmesse e ricevute.
Reti Informatiche.
LE RETI INFORMATICHE. LE RETI LOCALI La lan (Local Area Network) è costituita da un insieme di nodi, solitamente usata in un edificio solo o in edifici.
IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.
IL NOSTRO LABORATORIO. Di INFORMATICA..
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
NESSUS.
Introduzione all’analisi forense: metodologie e strumenti
Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli.
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
Aggiornamento 10 dicembre 2006 Informatica 2004 prof. Giovanni Raho1 Informatica applicata Le intrusioni dalla rete Virus – file temporanei - cookie.
Struttura dei sistemi operativi (panoramica)
ADSL VOIP Voice Over IP.
Corso di Informatica per Giurisprudenza Lezione 7
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Modulo 7 – reti informatiche u.d. 1 (syllabus – )
COMPUTER FORENSIC SCIENCE
I servizi di Copernico Giuseppe Inserra
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
FASTVID RENTALS: CONCLUSIONI I PUNTI DI FORZA DEL PROGETTO, GLI SVILUPPI FUTURI 1.
Configurazione di una rete Windows
Informatica Lezione 9 Scienze e tecniche psicologiche dello sviluppo e dell'educazione (laurea triennale) Anno accademico:
L’architettura a strati
Le ragioni della neutralità del trasporto di informazioni Associazione Provider Indipendenti Ing. Dino Bortolotto Milano, 12 novembre 2011.
CIOFS/FP Piemonte - CFP "M. Ausiliatrice" Alessandria © Laboratorio di Informatica Operativa CREARE UN SITO WEB: 1.PROGETTAZIONE 2.REALIZZAZIONE.
Le “nuvole informatiche”
Francesco M. Taurino 1 NESSUS IL Security Scanner.
Sicurezza informatica
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
INTRODUZIONE A INTERNET
Servizi Internet Claudia Raibulet
UNITA’ 04 Uso Sicuro del Web.
UNITA’ 02 Malware.
CORSO INTERNET la Posta elettronica
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
IT SECURITY Comunicazioni. Posta elettronica I messaggi ( ) commerciali viaggiano in rete “criptati”, cioè scritti con una “chiave pubblica” nota.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Sicurezza e attacchi informatici
Silvia Pasqualotto e Giulia Nanino
PHP.  HTML (Hyper Text Markup Language)  CSS (Cascading Style Sheets)  Javascript (linguaggio di programmazione client)  PHP ( Hypertext Preprocessor.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
ECDL European Computer Driving Licence
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Le basi di dati.
Progettazione di un sito web. Aggiornare i siti web Gli utenti navigano per: 1.Trovare informazioni. 2.Comprare beni e servizi. 3.Leggere news. 4.Giocare.
Prof. Paolo Antonucci.  Cookie: piccolo file di testo che restituisce al web server informazioni sulla macchina alla quale inviare la pagina web  Web.
Il mondo del web Includere Digital-mente – Corso livello 4 docente: prof.ssa MANUELA MARSILI.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Seminario di Fabio Mignogna

"...è il prelievo, la memorizzazione e l'analisi degli eventi di rete al fine di identificare la sorgente degli attacchi alla sicurezza o l'origine di altri problemi del sistema di rete... Marcus Ranum, "Network Forensics and Traffic Monitoring", Computer Security Journal, Vol. XII, 2 novembre 1997 Analisi dopo il fatto orientata ai problemi di sicurezza e non solo quelli legali.

La differenza sta negli strumenti impiegati Gli strumenti nella NS non si occupano, in genere, di raccogliere prove digitali, ma di segnalare eventi Per questo sono stati sviluppati diversi strumenti denominati NFAT (Network Forensics Analysis Tools)

Esistono strumenti per monitorare il traffico in tempo reale, ma sono dispendiosi in termini di risorse hardware e umano. Non adatto alle reti più grandi di un singolo workgroup. Risulta più pratico archiviare tutto il traffico e analizzare un sottoinsieme. Gli NFAT possono fornire una visione più ricca dei dati raccolti che consente di ispezionare il traffico da un livello più alto e astratto dallo stack del protocollo.

XplicoE-DetectiveNetwork MinerNetDetectorWireshark…

Verificare quali sistemi e supporti sono interessanti (switch, router, ISP, ecc.) Trovare gli elementi che testimoniano una determinata attività sulla rete (LOG, report IDS, ecc.) Trovare macchine o supporti di memoria da girare alla Computer Forensics per descrivere cosa è accaduto

Nella CF ci sono garanzie che il supporto analizzato non sia stato alterato prima e dopo lanalisi Nella NF entrano in gioco tantissime variabili Sistemi distribuiti Raccolta di ipertesti dinamici (pagine php) Spesso le macchine non possono essere spente Ci sono troppi dati da memorizzare e diviene impossibile in termini di costi Bisogna certificare il processo di ottenimento assieme allo stato della rete in quel momento

Proposta ovvia: prendere un nodo della rete, fare il shutdown della macchina e fare unanalisi con la CF. Problema: si potrebbe compromettere definitivamente dati che transitano su quella rete arrivando allassurdo di preservare il singolo nodo e alterando la rete Soluzione: fare una copia a runtime della rete

Copia durante lattività del nodo e della rete Sono pochi gli strumenti disponibili (generalmente sono estensioni dei normali live tool della CF) La copia a runtime di dati su una memoria di massa operativa è unoperazione sicuramente irripetibile Difficoltà nel documentare e certificare Difficoltà in dibattimento della presentazione dei risultati

Molto difficile e complesso chiedersi QUALI dati recuperare. Entra in gioco un grado di aleatorietà notevole che rendono i dati più indizi che elementi probatori Ad esempio si può: Recuperare le entry nei file di log Ricostruire gli eventi e i dati a partire dal traffico di rete Recuperare le password per accedere alle sessioni di lavoro E altro ancora…

Analizziamo un modo tramite il quale vengono commessi reati informatici…

L'anonimato (o anche anonimìa) è lo stato di una persona anonima, ossia di una persona di cui l'identità non è conosciuta. Questo può accadere per diversi motivi: una persona è riluttante a farsi conoscere, oppure non lo vuole per motivi di sicurezza come per le vittime di crimini e di guerra, la cui identità non può essere individuata. (Wikipedia)

Nascondere la propria identità può essere una scelta, per legittime ragioni di privacy e, in alcune occasioni, per sicurezza personale: un esempio ne sono i criminali, i quali, solitamente, preferiscono rimanere anonimi, in particolare nelle lettere ricattatorie. (Wikipedia)

È unimplementazione della seconda generazione di Onion Routing Protegge lutente dalla sorveglianza di rete e dallanalisi del traffico attraverso una rete di onion router gestiti da volontari Permette la navigazione anonima e la creazione di servizi anonimi nascosti (hidden services) È un progetto nobile, purtroppo usato anche per crimini informatici

Tor consente ai propri utenti di offrire vari servizi (web server, chat server, ecc.) nascondendo la propria posizione nella rete. Grazie ai rendezvous point è possibile far utilizzare questi servizi agli altri utenti Tor senza conoscere la reciproca identità.

Timing attacks Tor è un sistema a bassa latenza, quindi sarebbe possibile correlare una connessione cifrata di partenza con una connessione in chiaro di destinazione. Software malconfigurati DNS Leak: molti software continuano a fare richieste DNS bypassando la rete Tor. Web browser: flash, javascript e cookie attivi. Connessioni dirette dei software di messaggistica istantanea.

Intercettazione dellexit node Essendo lultimo collegamento non cifrato, è possibile un attacco man-in-the-middle. TLS Attack Possono essere rilevati nel traffico TLS diverse deviazioni del tempo di sistema. Un attaccante può modificare il tempo di sistema del destinatario attraverso NTP e rintracciare facilmente le connessioni TLS dalla rete anonima.