La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac`

Presentazioni simili


Presentazione sul tema: "Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac`"— Transcript della presentazione:

1 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac` Barberio Francesco `shiva` Mormile Slackware Linux Project Italia

2 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Argomenti * Scopo di questo talk * Frasi famose * Hacker? Cracker? * Trade-off, good, bad & best practices * Categorie di vulnerabilita' * Tipologie di attacco * Metodologie di difesa * Analisi delle vulnerabilita' * Contatti * E dopo...

3 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Scopo di questo talk Lo scopo del talk non e' insegnare le piu' comuni tecniche di attacco e di difesa, ma far comprendere che la sicurezza informatica ci coinvolge in ogni momento, e che gli attori protagonisti siamo proprio noi.

4 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Frasi famose * La sicurezza non è un prodotto, ma un processo. * La robustezza di una catena è data dalla robustezza del suo anello più debole. * Tutto ciò che non è esplicitamente permesso, è vietato. * L'unico sistema sicuro è un sistema spento, scollegato dalla rete, chiuso in una cassaforte e posto in fondo all'oceano. E anche in quel caso non sarei così sicuro.

5 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Categorie di sicurezza * Sicurezza fisica ** Controllo degli accessi ** Sistemi di videosorveglianza ** etc.. * Sicurezza logica ** Attacchi ad applicazioni e protocolli ** Accertamento di rischi e vulnerabilita' ** Metodologie di difesa ** etc.. Noi ci occuperemo di sicurezza logica

6 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Il profilo di un hacker (1/2) E' un individuo brillante, una sorta di genio dell'informatica. Lo si profila romanticamente come un curioso, capace di effettuare sofisticati attacchi, a patto di non causare danni, rubare informazioni o infrangere la confidenzialita' dei dati. Spesso si sente usare un'etichetta commerciale molto di moda, l' “hacker etico”.

7 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Il profilo di un hacker (2/2) In realta' l'accezione migliore e' quella che vede l'hacker come una persona profondamente esperta nel proprio settore, capace quindi di inventare soluzioni e risolvere problemi nel miglior modo possibile. Un esempio e' il kernel hacker.

8 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Il profilo di un cracker In teoria ha le skill di un hacker (secondo la prima accezione), ma ha scopi diversi, solitamente malevoli, spesso legati al profitto. In realta' la maggior parte dei cracker non e' ne' esperta ne' sofisticata. Sono ugualmente pericolosi, poiche' fanno un uso irresponsabile delle tecnologie. E' da entrambe le categorie che dobbiamo difenderci.

9 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio L'eterno compromesso La sicurezza ha un costo notevole. Sia economico, sia funzionale. Sicurezza Funzionalita' | | +-------------------------------+ | Costi E' importante sapere bene in che punto collocarsi.

10 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Good, bad & best practices (1/2) Ogni giorno un cracker si sveglia e sa che dovra' essere piu' furbo del sistemista. Ogni giorno un sistemista si sveglia e sa che dovra' essere piu' furbo del cracker. Non importa che tu sia cracker o sistemista, l'importante e' fregarlo.

11 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Good, bad & best practices (2/2) E' importante la sicurezza dei sistemi e delle applicazioni, ma da sola non basta. Occorre una educazione alla sicurezza per gli utenti dei sistemi, altrimenti saranno essi gli anelli deboli della catena. La consapevolezza e' l'unica risposta efficace alle minacce informatiche.

12 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Vulnerabilita' (1/3) Sono delle condizioni di errore nei software che possono condurre a funzionamenti indesiderati. Non esiste una categorizzazione ufficiale, ma possiamo osservare le vulnerabilita' sotto diversi aspetti.

13 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Vulnerabilita' (2/3) Ad esempio, in base alla localita': * locali * remote In base alle pre-condizioni: * account required * user assisted

14 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Vulnerabilita' (3/3) In base all'effetto: * Denial of Service (DoS) e Distributed DoS (DdoS) * Privilege escalation * Information stealing In realta' ci sono molte altre possibili prospettive.

15 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Insidie comuni * Servizi avviati ma non necessari * Applicazioni installate non necessarie * Password semplici * Reti con configurazioni di default * Sistemi con configurazioni non orientate alla sicurezza * Mancato uso della crittografia, in applicazioni e protocolli Ma il pericolo maggiore viene sempre dall'interno.

16 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Raccolta delle informazioni * Informazioni ottenute dai DNS e dal Whois database * Banalmente (ma non troppo), siti web * Port scanning * Vulnerability scanning * OS fingerprinting * Web Archive, Web cache * Social engineering * etc

17 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (1/6) * Keylogging (hardware o software) * Sniffing dei dati * Tracciamento delle applicazioni

18 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (2/6) * Corruzione della memoria: e' possibile leggere o scrivere nelle aree di memoria delle applicazioni vulnerabili. Effetti: accesso a informazioni riservate, controllo parziale o totale del sistema. Esempi: * stack/heap/BSS overflow * format string bug * integer overflow/underflow * /dev/mem e /dev/kmem

19 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (3/6) * Wi-Fi cracking: e' possibile trovare la chiave di crittografia utilizzata dalle reti protette, a patto che siano rispettate determinate condizioni. Esempi: * Korek attack (WEP, debolezza di RC4) * Attacchi con dizionario * Forced reauthentication attack

20 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (4/6) * Attacchi lato web: Sono attacchi che sfruttano il web per estrarre informazioni protette o ingannare l'utente. Esempi: * Phishing * Cross site scripting (XSS) * Cross Site Request Forgery (CSRF) * Clickjacking * SQL injection * SQL column/charset truncation

21 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (5/6) * Man in the middle: sono attacchi mirati all'inserimento dell'attacker nel flusso di una comunicazione, allo scopo di leggere informazioni potenzialmente interessanti. Esempi: * ARP cache poisoning * DHCP spoofing * DNS spofing * SSH Mitm (solo SSHv1)

22 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (6/6) * Denial of Service (DoS): sono mirati all'interruzione dei servizi, tramite sovraccarico della rete o delle applicazioni stesse. Esempi: * Syn flood * Smurf (ormai datato) * Distributed DoS * Recenti bug di IOS, Wireshark, Postfix, etc...

23 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Occultamento nel sistema Dopo aver compromesso un sistema, e' necessario mantenerne il controllo. Esempi: * rootkit (user space e/o kernel space) * tecniche anti-analisi forense * covert channel * steganografia

24 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Panoramica sulle tecniche di difesa (1/3) Password robuste, password ovunque. Certificati a chiave pubblica. Crittografia dei dischi, dello swap space e delle sessioni di rete (ad es., VPN). Configurazioni restrittive dei servizi, permessi e ownership robusti, firewalling statico e dinamico, IDS/IPS. Separazione dei contesti, virtualizzazione, separazione fisica delle macchine.

25 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Panoramica sulle tecniche di difesa (2/3) Protezione dal DLL hijacking. Uso di strumenti come Pax/GRSec, SeLinux, Capabilities. Stack protector, Address Space Layout Randomization (ASLR). Strumenti di ricerca dei rootkit, analisi di /proc. Autenticazione biometrica, smart card, dispositivi di memorizzazione, coppie di chiavi pubblica/privata.

26 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Panoramica sulle tecniche di difesa (3/3) Protezione dai Mitm (ArpON). Covert channel (si', anche per difendersi). Analisi dinamica dei log, con alerting in tempo reale. Syscall tracing, I/O tracing.

27 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> SELECT ('admin' = 'admin '); +------------------------+ | ('admin' = 'admin ') | +------------------------+ | 1 | +------------------------+

28 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> create database lorian; mysql> use lorian mysql> create table utenti ( -> id int not null auto_increment, -> user varchar(16) not null, -> pass varchar(64) not null, -> primary key (id) -> ) Engine=InnoDB;

29 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> insert into utenti (user, pass) -> values -> ('admin', -> 'secret'); mysql> insert into utenti (user, pass) -> values -> ('admin x', -> 'not_so_secret');

30 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> select * from utenti; +----+------------------+---------------+ | id | user | pass | +----+------------------+---------------+ | 1 | admin | secret | | 2 | admin | not_so_secret | +----+------------------+---------------+

31 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> select * from utenti -> where user = 'admin'; +----+------------------+---------------+ | id | user | pass | +----+------------------+---------------+ | 1 | admin | secret | | 2 | admin | not_so_secret | +----+------------------+---------------+

32 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation Come difendersi? Trattare questo tipo di warning come errore (sql-mode = STRICT_ALL_TABLES). Controllare la lunghezza dell'input PRIMA di fare la query al database. Evitare le configurazioni di default...

33 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation Riferimenti: * http://www.suspekt.org/2008/08/18/ mysql-and-sql-column-truncation-vulnerabilities/ * http://milw0rm.com/exploits/6397

34 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Contatti Andrea `insomniac` Barberio insomniac@slackware.it Francesco `shiva` Mormile shiva@slackware.it

35 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Domande & Risposte (ma senza esagerare)

36 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio E poi... Dimostrazione pratica di attacchi, difesa e analisi nella sala dei workshop.


Scaricare ppt "Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac`"

Presentazioni simili


Annunci Google