La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac`

PubblicatoGaetana Corsini Modificato 7 anni fa

Presentazioni simili

Presentazione sul tema: "Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac`"— Transcript della presentazione:

1 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac` Barberio Francesco `shiva` Mormile Slackware Linux Project Italia

2 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Argomenti * Scopo di questo talk * Frasi famose * Hacker? Cracker? * Trade-off, good, bad & best practices * Categorie di vulnerabilita' * Tipologie di attacco * Metodologie di difesa * Analisi delle vulnerabilita' * Contatti * E dopo...

3 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Scopo di questo talk Lo scopo del talk non e' insegnare le piu' comuni tecniche di attacco e di difesa, ma far comprendere che la sicurezza informatica ci coinvolge in ogni momento, e che gli attori protagonisti siamo proprio noi.

4 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Frasi famose * La sicurezza non è un prodotto, ma un processo. * La robustezza di una catena è data dalla robustezza del suo anello più debole. * Tutto ciò che non è esplicitamente permesso, è vietato. * L'unico sistema sicuro è un sistema spento, scollegato dalla rete, chiuso in una cassaforte e posto in fondo all'oceano. E anche in quel caso non sarei così sicuro.

5 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Categorie di sicurezza * Sicurezza fisica ** Controllo degli accessi ** Sistemi di videosorveglianza ** etc.. * Sicurezza logica ** Attacchi ad applicazioni e protocolli ** Accertamento di rischi e vulnerabilita' ** Metodologie di difesa ** etc.. Noi ci occuperemo di sicurezza logica

6 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Il profilo di un hacker (1/2) E' un individuo brillante, una sorta di genio dell'informatica. Lo si profila romanticamente come un curioso, capace di effettuare sofisticati attacchi, a patto di non causare danni, rubare informazioni o infrangere la confidenzialita' dei dati. Spesso si sente usare un'etichetta commerciale molto di moda, l' “hacker etico”.

7 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Il profilo di un hacker (2/2) In realta' l'accezione migliore e' quella che vede l'hacker come una persona profondamente esperta nel proprio settore, capace quindi di inventare soluzioni e risolvere problemi nel miglior modo possibile. Un esempio e' il kernel hacker.

8 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Il profilo di un cracker In teoria ha le skill di un hacker (secondo la prima accezione), ma ha scopi diversi, solitamente malevoli, spesso legati al profitto. In realta' la maggior parte dei cracker non e' ne' esperta ne' sofisticata. Sono ugualmente pericolosi, poiche' fanno un uso irresponsabile delle tecnologie. E' da entrambe le categorie che dobbiamo difenderci.

9 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio L'eterno compromesso La sicurezza ha un costo notevole. Sia economico, sia funzionale. Sicurezza Funzionalita' | | +-------------------------------+ | Costi E' importante sapere bene in che punto collocarsi.

10 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Good, bad & best practices (1/2) Ogni giorno un cracker si sveglia e sa che dovra' essere piu' furbo del sistemista. Ogni giorno un sistemista si sveglia e sa che dovra' essere piu' furbo del cracker. Non importa che tu sia cracker o sistemista, l'importante e' fregarlo.

11 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Good, bad & best practices (2/2) E' importante la sicurezza dei sistemi e delle applicazioni, ma da sola non basta. Occorre una educazione alla sicurezza per gli utenti dei sistemi, altrimenti saranno essi gli anelli deboli della catena. La consapevolezza e' l'unica risposta efficace alle minacce informatiche.

12 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Vulnerabilita' (1/3) Sono delle condizioni di errore nei software che possono condurre a funzionamenti indesiderati. Non esiste una categorizzazione ufficiale, ma possiamo osservare le vulnerabilita' sotto diversi aspetti.

13 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Vulnerabilita' (2/3) Ad esempio, in base alla localita': * locali * remote In base alle pre-condizioni: * account required * user assisted

14 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Vulnerabilita' (3/3) In base all'effetto: * Denial of Service (DoS) e Distributed DoS (DdoS) * Privilege escalation * Information stealing In realta' ci sono molte altre possibili prospettive.

15 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Insidie comuni * Servizi avviati ma non necessari * Applicazioni installate non necessarie * Password semplici * Reti con configurazioni di default * Sistemi con configurazioni non orientate alla sicurezza * Mancato uso della crittografia, in applicazioni e protocolli Ma il pericolo maggiore viene sempre dall'interno.

16 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Raccolta delle informazioni * Informazioni ottenute dai DNS e dal Whois database * Banalmente (ma non troppo), siti web * Port scanning * Vulnerability scanning * OS fingerprinting * Web Archive, Web cache * Social engineering * etc

17 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (1/6) * Keylogging (hardware o software) * Sniffing dei dati * Tracciamento delle applicazioni

18 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (2/6) * Corruzione della memoria: e' possibile leggere o scrivere nelle aree di memoria delle applicazioni vulnerabili. Effetti: accesso a informazioni riservate, controllo parziale o totale del sistema. Esempi: * stack/heap/BSS overflow * format string bug * integer overflow/underflow * /dev/mem e /dev/kmem

19 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (3/6) * Wi-Fi cracking: e' possibile trovare la chiave di crittografia utilizzata dalle reti protette, a patto che siano rispettate determinate condizioni. Esempi: * Korek attack (WEP, debolezza di RC4) * Attacchi con dizionario * Forced reauthentication attack

20 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (4/6) * Attacchi lato web: Sono attacchi che sfruttano il web per estrarre informazioni protette o ingannare l'utente. Esempi: * Phishing * Cross site scripting (XSS) * Cross Site Request Forgery (CSRF) * Clickjacking * SQL injection * SQL column/charset truncation

21 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (5/6) * Man in the middle: sono attacchi mirati all'inserimento dell'attacker nel flusso di una comunicazione, allo scopo di leggere informazioni potenzialmente interessanti. Esempi: * ARP cache poisoning * DHCP spoofing * DNS spofing * SSH Mitm (solo SSHv1)

22 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Esempi di attacchi diffusi (6/6) * Denial of Service (DoS): sono mirati all'interruzione dei servizi, tramite sovraccarico della rete o delle applicazioni stesse. Esempi: * Syn flood * Smurf (ormai datato) * Distributed DoS * Recenti bug di IOS, Wireshark, Postfix, etc...

23 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Occultamento nel sistema Dopo aver compromesso un sistema, e' necessario mantenerne il controllo. Esempi: * rootkit (user space e/o kernel space) * tecniche anti-analisi forense * covert channel * steganografia

24 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Panoramica sulle tecniche di difesa (1/3) Password robuste, password ovunque. Certificati a chiave pubblica. Crittografia dei dischi, dello swap space e delle sessioni di rete (ad es., VPN). Configurazioni restrittive dei servizi, permessi e ownership robusti, firewalling statico e dinamico, IDS/IPS. Separazione dei contesti, virtualizzazione, separazione fisica delle macchine.

25 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Panoramica sulle tecniche di difesa (2/3) Protezione dal DLL hijacking. Uso di strumenti come Pax/GRSec, SeLinux, Capabilities. Stack protector, Address Space Layout Randomization (ASLR). Strumenti di ricerca dei rootkit, analisi di /proc. Autenticazione biometrica, smart card, dispositivi di memorizzazione, coppie di chiavi pubblica/privata.

26 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Panoramica sulle tecniche di difesa (3/3) Protezione dai Mitm (ArpON). Covert channel (si', anche per difendersi). Analisi dinamica dei log, con alerting in tempo reale. Syscall tracing, I/O tracing.

27 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> SELECT ('admin' = 'admin '); +------------------------+ | ('admin' = 'admin ') | +------------------------+ | 1 | +------------------------+

28 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> create database lorian; mysql> use lorian mysql> create table utenti ( -> id int not null auto_increment, -> user varchar(16) not null, -> pass varchar(64) not null, -> primary key (id) -> ) Engine=InnoDB;

29 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> insert into utenti (user, pass) -> values -> ('admin', -> 'secret'); mysql> insert into utenti (user, pass) -> values -> ('admin x', -> 'not_so_secret');

30 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> select * from utenti; +----+------------------+---------------+ | id | user | pass | +----+------------------+---------------+ | 1 | admin | secret | | 2 | admin | not_so_secret | +----+------------------+---------------+

31 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation mysql> select * from utenti -> where user = 'admin'; +----+------------------+---------------+ | id | user | pass | +----+------------------+---------------+ | 1 | admin | secret | | 2 | admin | not_so_secret | +----+------------------+---------------+

32 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation Come difendersi? Trattare questo tipo di warning come errore (sql-mode = STRICT_ALL_TABLES). Controllare la lunghezza dell'input PRIMA di fare la query al database. Evitare le configurazioni di default...

33 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Analisi di una vulnerabilita': MySQL Column Truncation Riferimenti: * http://www.suspekt.org/2008/08/18/ mysql-and-sql-column-truncation-vulnerabilities/ * http://milw0rm.com/exploits/6397

34 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Contatti Andrea `insomniac` Barberio insomniac@slackware.it Francesco `shiva` Mormile shiva@slackware.it

35 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Domande & Risposte (ma senza esagerare)

36 Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio E poi... Dimostrazione pratica di attacchi, difesa e analisi nella sala dei workshop.

Scaricare ppt "Slackware Linux Project Italia 25 ottobre 2008 - NaLUGLinux Day 2008 - Napoli Andrea Barberio Introduzione alla sicurezza informatica Andrea `insomniac`"

Presentazioni simili

SIMULAZIONE RETE INTERNET INTERNET SERVICE PROVIDER GRUPPO 2 COMMESSA – INFORMATICA GRANATA Corso Sicurezza su Reti II Prof. A. De Santis Anno Accademico.

SIMULAZIONE RETE INTERNET INTERNET SERVICE PROVIDER GRUPPO 2 COMMESSA – INFORMATICA GRANATA Corso Sicurezza su Reti II Prof. A. De Santis Anno Accademico.
Corso Drupal 2013 Andrea Dori

Corso Drupal 2013 Andrea Dori
Tecnologie dell'informazione e della comunicazione - Stacey S. Sawyer, Brian K. Williams Copyright © 2002 - The McGraw-Hill Companies srl “Le sfide dell’era.

Tecnologie dell'informazione e della comunicazione - Stacey S. Sawyer, Brian K. Williams Copyright © The McGraw-Hill Companies srl “Le sfide dell’era.
Interazione col DB Per interagire con una base dati da una pagina PHP occorre procedere come segue: Eseguire la connessione al DBMS MySQL in ascolto;

Interazione col DB Per interagire con una base dati da una pagina PHP occorre procedere come segue: Eseguire la connessione al DBMS MySQL in ascolto;
12 dicembre 2015 1 Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.

12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Master Manager della sicurezza informatica Marco E.

Master Manager della sicurezza informatica Marco E.
Aggiornamento attività gruppo Windows Gian Piero Siroli, Dip. di Fisica, Univ. di Bologna e INFN CCR, Giugno 2009.

Aggiornamento attività gruppo Windows Gian Piero Siroli, Dip. di Fisica, Univ. di Bologna e INFN CCR, Giugno 2009.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.

LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.

Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico 2010 -

UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico
La sicurezza dei sistemi informatici Introduzione alla Sicurezza Giuseppe Guerrasio “HACKER: A person who.

La sicurezza dei sistemi informatici Introduzione alla Sicurezza Giuseppe Guerrasio “HACKER: A person who.
Giuditta Cantoni, 4 E S.I.A I DATABASE. Definizione databese In informatica, il termine database, banca dati o base di dati (a volte abbreviato con il.

Giuditta Cantoni, 4 E S.I.A I DATABASE. Definizione databese In informatica, il termine database, banca dati o base di dati (a volte abbreviato con il.
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.

Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
LTSP (Linux Terminal Server Project) GNU/Linux ed Workshop di Enrico Teotti powered with Gentoo Linux Linux Day 2005 - LUG Mantova.

LTSP (Linux Terminal Server Project) GNU/Linux ed Workshop di Enrico Teotti powered with Gentoo Linux Linux Day LUG Mantova.
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.

1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
Fabrizio Felici Linux e Windows a confronto, perché passare a Linux 27 ottobre 2007.

Fabrizio Felici Linux e Windows a confronto, perché passare a Linux 27 ottobre 2007.
Slackware Linux Project Italia 25 ottobre 2008Linux Day 2008 - Napoli Francesco Mormile Introduzione alla sicurezza informatica Andrea `insomniac` Barberio.

Slackware Linux Project Italia 25 ottobre 2008Linux Day Napoli Francesco Mormile Introduzione alla sicurezza informatica Andrea `insomniac` Barberio.
LinuxDay 2009, Trento Navigare e usare la posta elettronica con consapevolezza Gianluca Ciccarelli, LinuxTrent

LinuxDay 2009, Trento Navigare e usare la posta elettronica con consapevolezza Gianluca Ciccarelli, LinuxTrent
“Non c’è nessun buon motivo per il quale ogni persona nel mondo debba possedere un computer”- Kenneth Henry Olsen. (una delle frasi più sbagliate nella.

“Non c’è nessun buon motivo per il quale ogni persona nel mondo debba possedere un computer”- Kenneth Henry Olsen. (una delle frasi più sbagliate nella.
Sicurezza e crittografia asimmetrica ● Info su redsh.wordpress.com/corso-linux ●

Sicurezza e crittografia asimmetrica ● Info su redsh.wordpress.com/corso-linux ●

Presentazioni simili

Annunci Google