Paolo Macchi
Incidenti e Password
elementi di sicurezza informaticaSicurezza informatica le basi: https://docs.google.com/presentation/d/1X0jolfzKPQivBw783Ho5FMlE5EmgJVL_vzeZVrnV3Ow/pub?
start=false&loop=false&delayms=3000
https://cybermap.kaspersky.com/ http://www.norse-corp.com/map/
1 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Questo testo è pubblicato sotto licenza Creative Commons - Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Unported - Per le condizioni consulta: http://creativecommons.org/licenses/by-nc-sa/3.0/deed.it . Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra. Il documento è scaricabile da http://isisfacchinetti.gov.it/ , sezione download, per fini esclusivamente didattici e non commercialiSegnalazioni di errori, critiche e consigli sono molto graditi e possono essere inoltrati a [email protected] , oppure lasciando un commento al momento del downloadper gli studenti registrati.
Incidenti e Password - elementi di sicurezza informatica
ISIS “Cipriano Facchinetti” via Azimonti, 5 - 21053 Castellanza (VA) - http://isisfacchinetti.gov.it/
Convenzioni usate nel testo:
rappresenta una curiosità, un approfondimento NOTA rappresenta una nota
rappresenta una esercitazione o esempiohttps://www.the-qrcode-generator.com/ link di riferimentoRappresenta un codice o dei risultati o una segnalazione storica
2 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Indice generaleIntroduzione..........................................................................................................................................5Ethical hacker.......................................................................................................................................7
Aspetti legali....................................................................................................................................7Terminologia.........................................................................................................................................8
Attività di Hacking: minacce, malware e attacchi.........................................................................11Minacce.....................................................................................................................................11Malware Threats........................................................................................................................12
Come accorgersi e difendersi dai maleware..................................................................................19Virus - Scanner Primario:..........................................................................................................22Virus - Scanner Secondario:......................................................................................................23email..........................................................................................................................................24Le fasi di un attacco sono cinque..............................................................................................25Metodologie per il password cracking......................................................................................25
Organizzazioni, Risorse e documentazione........................................................................................28Tabella threats CERT.....................................................................................................................28Mappe:...........................................................................................................................................28IoT Hacking...................................................................................................................................30
IoT – Sicurezza (PT 4.2.3.3 Iot)...............................................................................................31Password e integrità dei dati...............................................................................................................32
My IP.............................................................................................................................................32HASH INTEGRITA’ (hash calc)...................................................................................................33PASSWORD..................................................................................................................................33
ESERCITAZIONE : Crea e memorizza password complesse..................................................33Backup...........................................................................................................................................36
Firewall Proxy e Router......................................................................................................................37Router Multifunzione.....................................................................................................................37
Introduzione..............................................................................................................................37Il progetto con Packet Tracer....................................................................................................37
Firewall IPTABLES.......................................................................................................................43Wireless.....................................................................................................................................45Protezione..................................................................................................................................45Protezione..................................................................................................................................45Applicazioni..............................................................................................................................45
Fortigate Firewall...........................................................................................................................46Proxy Server..................................................................................................................................47
VPN....................................................................................................................................................48IP Security (IPSec).........................................................................................................................52
I.................................................................................................................................................54I metodi di autenticazione.........................................................................................................55Distribuzione delle chiavi crittografiche...................................................................................55
Privacy................................................................................................................................................57Esempio - Google privacy.........................................................................................................58
L’inquinamento delle informazioni................................................................................................60Certificati digitali - Agenzia per l'Italia digitale.......................................................................60
Esercitazioni sicurezza.......................................................................................................................61
3 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
SANS.............................................................................................................................................61Scenario................................................................................................................................611. Prima parte: esplorazione dei contenuti...........................................................................61
Strumenti di monitoraggio e attacco..............................................................................................62Wireshark..................................................................................................................................62
Gotchas..........................................................................................................................................63SHODAN..................................................................................................................................64PORT SCAN.............................................................................................................................64NMAP – ZENMAP...................................................................................................................64Come difendersi dal port scanning............................................................................................65
Esempio MICROPROCESSORI e SoC........................................................................................66Buffer overflow e altro...................................................................................................................66
INDICE: 2019 CWE Top 25 Most Dangerous Software Errors..........................................66PHP Form validation......................................................................................................................70Codice malevolo in Javascript.......................................................................................................71
Pen Test.....................................................................................................................................722. Seconda parte: indentificazione delle minacce recenti.....................................................733. Terza parte: Dettagliare uno specifico attacco..................................................................73
Esercizi Ticket...............................................................................................................................74Ticket 1......................................................................................................................................75Ticket 2......................................................................................................................................75Ticket 3......................................................................................................................................76
SFIDE............................................................................................................................................79Hackthebox....................................................................................................................................79Challenge 1 – SSH con Wireshark.................................................................................................84Challenge 2 – Pen Test...................................................................................................................86
Doc e Strumenti..................................................................................................................................87Filmati e articoli.............................................................................................................................88Fake news......................................................................................................................................89wifi.................................................................................................................................................89
News...................................................................................................................................................90- MITRE CVE-2020-0601....................................................................................................90- Shlayer Trojan....................................................................................................................90- Windows 0-day exploit CVE-2019-1458...........................................................................91
(SEB) Safe exam browser https://docs.moodle.org/38/en/Safe_exam_browser................................91
4 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Introduzione “La sicurezza dei sistemi collegati in rete non deve essere pensata come la difesa
miope del proprio territorio, ma piuttosto come una grande città metropolitana in cui,ogni giorno, migliaia di pendolari ne oltrepassano i confini per entrare e uscire,portando esperienze e scambiando informazioni. La possibilità di queste relazioni si basasulla fiducia reciproca tra gli individui” [Gateway Sistemi e Reti S. ANELLI, P. MACCHI, G. ANGIANI, G.
ZICCHIERI - CASA EDITRICE PETRINI ]
“Raramente nella storia abbiamo avuto a che fare con una questione così importante edallo stesso tempo così poco definita e compresa” [Michael Hayden (ex-direttore della CIA e della
NSA) ]
"Soltanto due cose sono infinite, l'universo e la stupidità umana, e non sono tanto sicurodella prima". [ Albert Einstein ]
L’espressione Cyber Security indica un gruppo di attività e competenze multidisciplinari,complesse e sofisticate, molte delle quali non informatiche.
Secondo Sergey Lozhkin, del team di ricerca Great del Kaspersky Lab: «La cosa più preoccupante èche tutti questi dati, ottenuti attraverso varie violazioni, possono essere facilmente trasformati in ununico elenco di indirizzi email e password: tutto quello che i cybercriminali avrebbero bisogno difare, quindi, è creare un software piuttosto semplice e verificare così l’effettivo funzionamento diquelle stesse password. Per azioni di phishing, fino ad attacchi mirati per il furto di identità digitali,la sottrazione di denaro o la compromissione dei dati sui social network».
“La sicurezza non è un prodotto, è un processo. Inoltre non è un problema di tecnologia, bensì dipersone e gestione
... Forse state perdendo soldi anche in questo momento oppure qualcuno vi sta rubando i progettidei nuovi prodotti, senza che nemmeno lo sappiate. Se non è già successo alla vostra ditta non èquestione di se ma di quando.
5 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
...Alcuni hacker distruggono i file della gente o interi dischi fissi: sono quelli che chiamiamocracker o vandali.
Alcuni hacker novellini (lamer) non sprecano un minuto di tempo a studiare la tecnologia,ma si limitano a scaricare gli strumenti utili per intrufolarsi nei sistemi informatici: sono gliscript kiddies.
Quelli più esperti e capaci di programmare sviluppano software che poi postano in Rete onelle BBS.
Infine ci sono i singoli per nulla interessati alle macchine ma che usano i computer soltantocome strumento per rubare soldi, beni, servizi.
… Le tecnologie come gli strumenti di autenticazione (per dimostrare l'identità), il controllodell'accesso (per regolare l'accesso ai file e alle risorse di sistema) e i sistemi di rilevamento delleintrusioni (l'equivalente elettronico dell'allarme antifurto) sono assolutamente necessarie per unprogramma aziendale di sicurezza. Eppure ancor oggi è normale che un'impresa spenda più soldiper il caffè che per le contromisure per proteggersi dagli attacchi ai vostri dati. Come la mente delcriminale non sa resistere alla tentazione, la mente dell'hacker è spinta a trovare una maniera peraggirare le potenti salvaguardie della tecnologia. E in molti casi ci riesce proprio concentrandosisulle persone che usano la tecnologia
… il fattore umano è sul serio l'anello più debole della sicurezza… “
[Kevin Mitnick – L’arte dell’inganno]
Un buon difensore deve essere un buon attaccante :
“È fondamentale conoscere almeno un paio di linguaggi di programmazione, essere curiosi,paranoici (come le mamme quando i figli escono...!), sapere come funzionano le tecnologie(soprattutto per gli ingegneri) e conoscere la crittografia (specialmente nel caso dei matematici),essere capaci di lavorare in gruppo, essere elastici (non ci sono orari), non smettere mai di studiare(la tecnologia cambia di continuo), essere in grado di riassumere situazioni complesse, conoscerel’inglese (imprescindibile!) e almeno un’altra lingua straniera, essere creativi (anche con risorselimitate!) e avere conoscenze ibride.
Ruoli diversi: quello da analisti, quello da analisti di intelligence (coloro che studiano le tendenzenel cybercrimine), quello da «costruttori della sicurezza» e, infine, le posizioni manageriali “
https://www.corriere.it/tecnologia/19_marzo_15/milano-digital-week-yvette-agostini-cybersicurezza-5dc05f62-464e-11e9-a4ff-e29a115180ab.shtml
NOTA Video:
“infiltrato speciale” Trojan: https://www.raiplay.it/video/2019/11/report-del-18112019-Infiltrato-speciale-113be7a7-1935-4a3c-8994-
c86fae76897a.html
cyber war febbraio 2016 http://www.rai.it/dl/RaiTV/programmi/media/ContentItem-0401edaa-cbd7-4617-8e02-fca91e8c3aa1.html
6 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Ethical hacker“An ethical hacker, also referred to as a white hat hacker, is an information security expert whosystematically attempts to penetrate a computer system, network, application or other computingresource on behalf of its owners -- and with their permission -- to find security vulnerabilities that amalicious hacker could potentially exploit. “
https://searchsecurity.techtarget.com/definition/ethical-hacker
Aspetti legali
ARTICOLO 615 ter, Codice PenaleSezione IV – Dei delitti contro la inviolabilità deldomicilio. Chiunque abusivamente si introduce in un sistema informatico o telematicoprotetto da misure di sicu-rezza ovvero vi si mantiene contro la volontà espres-sa o tacita dichi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.La pena è dellareclusione da uno a cinque anni:
◦ 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblicoservizio, con abu-so dei poteri, o con violazione dei doveri inerenti alla funzione o alservizio, o da chi esercita anche abusivamente la professione di investigatore pri-vato, ocon abuso della qualità di operatore del sistema;
◦ 2) se il colpevole per commettere il fatto usa violen-za sulle cose o alle persone, ovverose è palese-mente armato;
◦ 3) se dal fatto deriva la distruzione o il danneggia-mento del sistema ol’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o ildanneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualorai fatti di cui ai commi primo e secondo riguardino sistemi in-formatici o telematicidi interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità oalla protezione civile o comunque di inte-resse pubblico, la pena è, rispettivamente, dellare-clusione da uno a cinque anni e da tre a otto anni.Nel caso previsto dal primo commail delitto è puni-bile a querela della persona offesa; negli altri cas
Il Decreto Legislativo 231/2001 ha introdotto in Italia il Sistema di ResponsabilitàAmministrativa dell’Ente in base alla quale qualora un soggetto, dipendente ocollaboratore, operante in una società, commetta uno dei reati presupposto, previsti dalD.lgs. 231/2001, a vantaggio della società stessa, questa potrà essere condannata e subireuna delle sanzioni previste dallo stesso D.lgs. 231/2001. Tale responsabilità si aggiunge aquella della persona fisica che ha realizzato materialmente il fatto. Tra i vari reatipresupposto, per i quali la società può essere chiamata a rispondere, rientrano: ..., Frodeinformatica in danno dello Stato o di un Ente pubblico e il trattamento illecito di dati,..Peressere esonerata dalla responsabilità amministrativa, la società deve dimostrare di averadottato ed efficacemente attuato, prima della commissione del reato, un modello di
7 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
organizzazione, gestione e controllo idonei a prevenire reati della specie di quelloverificatosi
L. 262/05 “Disposizioni per la tutela del risparmio e la disciplina dei mercatifinanziari” Legge 262/05 Le disposizioni introdotte dalla L. 262/05, conosciuta anche come“Legge sul Risparmio”, coinvolgono tutte le aziende, italiane ed estere, quotate sul mercatoitaliano, e introduce una serie di adempimenti a cui le aziende devono uniformarsi. Taliadempimenti hanno influenza su diversi aspetti, da quello societario a quello organizzativo,dalle comunicazioni sociali al controllo interno. La normativa prevede infatti:un rafforzamento delle responsabilità a livello dirigenziale in merito alle comunicazionisociali, con impatto nei ruoli e nelle responsabilità dell’alta direzione e del controllo interno;
Legge 196 Privacy https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali+%28Testo+coordinato%29
GDPR =>> rilevare, gestire e comunicare entro 72 ore gl iincidenti informatici (4%del fatturato)( https://www.cnet.com/news/british-airways-faces-record-breaking-230m-gdpr-fine-for-2018- data-breach/ https://www.cybersecurity360.it/cultura-cyber/reati-informatici-quali-sono-e-che- cosa-si-rischia/ )
Terminologia
CIA
(cfr. Gateway. Sistemi e reti- Vol. 3 - Codice
EAN: 9788849420760https://tinyurl.com/r58vbsw ) (cfr. Incidenti e Password (Paolo Macchi) - https://moodle.isisfacchinetti.it/mod/data/view.php?d=21&rid=736
https://player.slideplayer.com/32/9902940/# https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-12r1.pdf
Una vulnerabilità è una debolezza (vulnerability is a weakness ) in un sistema, una procedura disicurezza del sistema, controlli interni o implementazione che potrebbe essere sfruttate da unafonte di minacce (exploited by a threat source ).
Le vulnerabilità lasciano i sistemi in balia a una moltitudine di attività che possono portare a perdite
talvolta irreversibili. Queste perdite possono variare da un singolo file danneggiato su un computer
8 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
portatile o dispositivo mobile a interi database presso un centro operativo compromesso. Con gli
strumenti e le conoscenze giuste, un avversario può sfruttare le vulnerabilità e accedere alle
informazioni.
Il danno inflitto ai sistemi compromessi può variare a seconda della fonte della minaccia.
Una fonte di minaccia può essere antagonisti o non antagonisti (adversarial or non-
adversarial).
Le fonti di minacce antagoniste sono individui, gruppi, organizzazioni o entità che cercano di
sfruttare la dipendenza di un'organizzazione da cyber risorse. Anche i dipendenti, gli utenti
privilegiati e gli utenti fidati sono stati conosciuti per frodare sistemi organizzativi.
Le fonti di minaccia non antagoniste si riferiscono a disastri naturali o errati azioni intraprese da
individui nel corso dell'esecuzione delle loro responsabilità quotidiane.
Se il sistema è vulnerabile, le fonti delle minacce possono portare a eventi di minaccia (threat
sources can lead to threat events. ).
Un evento di minaccia è un incidente o situazione che potrebbe potenzialmente causare
conseguenze o impatti indesiderati.
Un esempio di una fonte di minacce che porta a un evento di minaccia è un hacker che installa un
monitor di battitura (keystroke monitor ) su un sistema organizzativo. Il danno che gli eventi di
minaccia possono causare sui sistemi varia considerevolmente.Alcuni influenzano la riservatezza e l'integrità delle informazioni memorizzate in un sistema mentrealtri interessa solo la disponibilità (https://doi.org/10.6028/NIST.SP.800-30r1 )
ASSET = l’insieme di beni (dati e persone necessarie all’erogazione di un servizio IT) che vannotutelati
RISCHIO (risk )= PROBABILITA’x IMPATTO. Il rischio è il prodotto di due fattori: –Laprobabilità che un evento dannoso si possa verificare e l’impatto, nel senso delle conseguenze chel’evento dannoso avrebbe sul sistema se si verificasse. Il rischio deve essere gestito attraversoazioni mirate a ridurre uno o entrambi i fattori che lo costituiscono.
MINACCIA (threat ) è un evento esterno = atto volontario o evento accidentale che può causarela perdita di una proprietà di sicurezza. - Una minaccia è qualsiasi azione, accidentale odeliberata, che potrebbe comportare la violazione di qualche obiettivo di sicurezza e può sfruttareuna vulnerabilità • Una minaccia dipende sempre da un fattore esterno al sistema che può essere diorigine naturale o antropica; • ESEMPI: – Attacco «Hacker»: minaccia deliberata di origineantropica; – Smarrimento password (fig aa)
DEBOLEZZA ( weaknesses) = errori che possono condurre a vulnerabilità (Softwareweaknesses are errors that can lead to software vulnerabilities. ) - CWE™ is a community-developed list of common software security weaknesses. It serves as a commonlanguage, a measuring stick for software security tools, and as a baseline for weaknessidentification, mitigation, and prevention efforts. https://cwe.mitre.org/ esempio: CWE-120: Buffer Copy without Checking Size of Input ('Classic BufferOverflow') http://cwe.mitre.org/data/definitions/120.html#Demonstrative%20Examples
9 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
VULNERABILITA’ (vulnerability ) è un evento interno = errore che può essere direttamentesfruttato da un hacker per accedere alle risorse critiche ( A software vulnerability, such as thoseenumerated on the Common Vulnerabilities and Exposures (CVE®) List, is a mistake in software
that can be directly used by a hacker to gain access"; vedi anche https://nvd.nist.gov/ )
https://cve.mitre.org/ ,esempio: https://cve.mitre.org/data/refs/index.html (CVE Reference Key/Map)http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-5195 ("A race condition was found in
the way the Linux kernel's memory subsystem handled the copy-on-write (COW) breakage of
private read-only memory mappings”)
◦ Una vulnerabilità è una debolezza intrinseca di un sistema informatico; A differenza delle
minacce non dipende da agenti esterni ma è una proprietà del sistema stesso (es errori diprogrammazione)
◦ Le vulnerabilità sono qualsiasi difetto software o hardware.
EXPLOIT = sfruttare una vulnerabilità. Dopo aver acquisito conoscenza di una vulnerabilità, imalintenzionati tentano di sfruttarla con un programma scritto per sfruttarla
ATTACCO (attack)= "atto volontario" per la realizzazione pratica di una minaccia. Se un agenteesterno attua una minaccia che sfrutta una vulnerabilità si ha una violazione di un obiettivo disicurezza;
EVENTO (NEGATIVO) = “evento accidentale" per la realizzazione pratica di una minaccia
CONTROMISURE = azioni che vengono intraprese per proteggere le vulnerabilità
NOTA> ("A2. What is the difference between a software vulnerability and software weakness? . What is the relationship between CWE and
CVE? https://cwe.mitre.org/about/faq.html#A.1 cfr MITRE
Esempio Vulnerabilità : Dirty COW (CVE-2016-5195) is a privilege escalation vulnerability in the Linux
Kernel http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-5195 https://nvd.nist.gov/vuln/detail/CVE-2016-5195 - “dirty
cow” bersaglia tutti i kernel precedenti al 2016. Ci sono moltissime versioni dell’exploit dirty cow. Ad
esempio la versione creata dall’utente firefart ci permette di modificare il file /etc/passwd cambiando lapassword dell’utente root.
copy-on-write (COW) - Un utente locale senza privilegi poteva usare questo difetto per ottenere l'accesso in scrittura a una memoria in sola lettura e quindi aumentare i privilegi sul sistema.
Unica soluzione: aggornamento:
Debian/Ubuntu:
$ sudo apt-get update && sudo apt-get upgrade && sudo apt-get dist-upgrade
10 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Attività di Hacking: minacce, malware e attacchi
MinacceLe minacce possono essere classificate secondo tipi diversi:
Le minacce esterne da parte di appassionati o utenti malintenzionati possono sfruttare levulnerabilità della rete o dei dispositivi informatici o utilizzare l'ingegneria sociale perottenere l'accesso.
◦ Minaccia alle reti - Ci possono essere diverse fasi, tra cui: raccolta di informazioni;intercettare i dati;
lo Spoofing; • Attacco MITM; • SQL injection; • ARP poisoning; • DoS;
◦ Minacce all’host - sono gli attacchi diretti all’obbiettivo per forzare la sicurezza di esso eprelevare le informazioni. Le possibili minacce possono essere:
Attacco di un malware; • Footprinting; • Dos; • inserimento di una Backdoor; •etc.
◦ Minacce alle applicazioni - se non sono state prese appropriate misure di sicurezza nelprogrammare un applicazione, i bug in essa possono essere utilizzati per trovarevulnerabilità e sottrarre (o danneggiare) i dati in essa. Alcuni esempi di attacchi:
Convalida errata dei dati; • Rilevazione delle informazioni; • problemi di Bufferoverflow; • attacchi alla crittografia; • e altri ancora.
Minacce alla sicurezza interna
Le minacce interne Un utente interno, come un dipendente o un partner contrattuale, può accidentalmente o intenzionalmente:
◦ Gestire i dati confidenziali
◦ Minacciare le operazioni dei server interni o dei dispositivi dell'infrastruttura di rete
◦ Facilitare attacchi esterni collegando il supporto USB infetto al sistema informaticoaziendale
◦ Invitare casualmente il malware nella rete tramite e-mail o siti Web dannosi
Le minacce interne possono anche causare danni maggiori rispetto alle minacce esterne,poiché gli utenti interni hanno accesso diretto all'edificio e ai suoi dispositividell'infrastruttura. I dipendenti hanno anche conoscenza della rete aziendale, delle sue risorse edei suoi dati riservati, oltre a diversi livelli di privilegi utente o amministrativo.
NOTA race condition (o “corsa critica”) indica una condizione che si verifica in alcuni sistemi quando
due o più processi o thread in esecuzione accedono contemporaneamente in scrittura ad una risorsacondivisa (un’area di memoria, un file, una periferica, ecc.).
Il risultato finale dell’esecuzione di questi processi dipende dall’ordine con cui vengono eseguiti. Ilvalore finale assegnato alla risorsa condivisa sarà quello dato dall’ultimo processo che vi ha acceduto.
11 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Siccome l’ordine con cui i processi accedono alla risorsa dipende dalla loro temporizzazione o dallasequenza con cui vengono eseguiti, il risultato finale risulta non predicibile. Spesso, una race
condition può provocare effetti indesiderati sul sistema, malfunzionamenti e potenziali problemi disicurezza.
Malware Threats. (08 Sniffing, 09 Social Engineering, 10 Denial-of-Service) .
I nostri computer, cellulari, stampanti e sempre più spesso televisori o altri dispositivi sono connessisimultaneamente ai router domestici, i quali ci permettono di connetterci alla rete esterna e navigarein internet. Purtroppo (o per fortuna) anche questi sono vulnerabili ad attacchi esterni o interni edevono essere protetti sempre al massimo, in modo che nessuno possa prendere il controllo deinostri dispositivi passando da essi.
Ogni software che causa danni al computer o alla rete è considerato software maligno, detto ancheMalware, inclusi i virus, i trojan horse, worms, rootkits, scareware e spyware. L’analisi di unmalware consiste nel disassemblare lo stesso per capire come funziona, come identificarlo e comeeliminarlo. Ci sono due tipi diversi di approcci all’analisi di un Malware. Esistono diverse tipologiedi malware. Le più importanti macro categorie sono:
◦ Backdoor: codice che si autoinstalla in un computer per permettere l’accesso ad un altrapersona;
◦ Botnet: simile alla backdoor, permette all’attaccante di accedere al sistema, solitamentetutti i computer infettati con la stessa botnet ricevono la stessa istruzionecontemporaneamente;
◦ Rootkit sono caratterizzati dalla capacità di attaccare un computer ed entrare inazione senza che l'utente si accorga di nulla. L'obiettivo di un rootkit è duplice:prendere il controllo della macchina ottenendone i privilegi di amministratore ed evitaredi essere intercettato dagli scanner antivirus e anti malware sono solitamente in coppiacon altri malware, come una backdoor, in modo da rendere il codice difficile dadecifrare;Trojan: programma maligno mascherato da qualcosa di benigno; Worm o virus:parti di codice che si diffondono copiandosi in altri programmi, in modo da essereeseguiti ogni volta che il file infetto viene aperto. Si trasmettono in altri computertramite lo spostamento dei file infetti da parte dell’utente; Spyware: software chevengono usati per raccogliere informazioni dal sistema su cui sono installati, come ladigitazione sulla tastiera o del mouse; Ransomware: virus che cripta tutti i dati (lamaggior parte, a seconda delle estensioni specificate dal programmatore) di undispositivo. Per riottenerli bisogna pagare una cifra prestabilita per poter decrittografare ifile; ..e molti altri ancora.
◦ Alternate Data Streams (ADS): i file invisibili di Windows. Gli Alternate Data Streamssono disponibili unicamente su partizioni NTFS. In questo tipo di filesystem leinformazioni su file e cartelle sono memorizzate in una tabella chiamata Master Filetable (MFT). In questa regione del disco ogni file è identificato da una collezione di
12 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
oggetti chiamati attributi. Il fattore importante per le nostre considerazioni è che NTFSpermette la creazione di più di un attributo dati per ogni singolo file.
NOTA La Steganografia è definita come l’arte di nascondere dati all’interno di altri datisenza essere scoperti da fonti esterne. Vengono rimpiazzati bit inutili e non utilizzatiall’interno di file immagini, video o audio con bit precisi e scelti da noi. L’obbiettivo è lostesso della crittografia, ossia inviare file senza che enti o persone esterne possanoscoprire ciò che stiamo inviando.
◦ L’hacking di un router . I passi da effettuare per entrare in un router sono:
1. Identificare lo stesso (indirizzo IP, marca, modello); 2. Scansionare le porte attive; 3.Entrare nel router; 4. Craccare la password; 5. Analizzarlo dall’interno, ossia: a)controllare gli utenti; b) analizzare le informazioni; c) monitorare il traffico; d) inserireuna backdoor; e) e molto altro. Con FTP
Un trojan, nell’ambito della sicurezza informatica, indica un tipo di malware, ed è definitocome un programma maligno mascherato da qualcosa di benigno (il nome infatti deriva daCavallo di Troia in esplicito riferimento alla leggenda Greca). Un trojan è utilizzato perentrare nel computer della vittima senza esser riconosciuto, accedere ai dati dello stesso e/ocausare danno.È bene ricordare che i trojan hanno lo stesso livello di privilegi dell’utenteche lo avvia. Quindi se sarà un utente normale, senza troppi privilegi, esso potrebbe causarepochi danni, ma se è l’amministratore (cosa molto comune con Windows e l’utilizzo privato)esso può danneggiare notevolmente il dispositivo.
Rubare informazioni sensibili come email, password, carte di credito; • Utilizzare ilcomputer della vittima come “disco esterno” per salvare e nascondere informazioni illegali;il sistema compromesso può essere poi utilizzato per scopi illegali, come parte di un attaccodos o come botnet.Un sistema può essere infettato in diversi modi, tra i quali: il trojan èinserito in un programma shareware o freeware. L’utente installa tutto il pacchettoinconsciamente, insieme al virus; • click su banner pubblicitari maligni. Negli ultimi tempisono divenuti sempre più frequenti, anche nei siti porno o di torrent; • possono essere inviatitramite email, come allegato. Solitamente il messaggio arriva da un contatto fidato, il qualea sua volta era stato infettato; • tramite accesso fisico, come un’USB o un CD
◦ RAT (Remote Access Tool): server (C&C) + client esempio
https://github.com/n1nj4sec/pupy
13 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
“Programs for remote access to a computer or other device connected to the Internet or alocal network. Remote administration tools can be part of a software product or come asseparate utilities. RAT enables remote configuration of applications and devices.
Remote administration is critical in terms of information security. Developers employauthorization and encryption tools in its implementation.
RAT vulnerabilities can be exploited by cybercriminals to run malware on victimcomputer” (https://encyclopedia.kaspersky.com/glossary/rat-remote-access-tools/ )
Cosa è una Botnet
Il termine Botnet deriva dalla parola roBOT NETwork, il quale fornisce già spiegazioneabbastanza chiara di cosa possa essere.
Essa è un’enorme rete formata da dispositivi informatici compromessi (infettati quindi daMalware) e collegati ad Internet, controllati da un unica entità, il botmaster.
Una Botnet può avere sia scopi benevoli che malevoli, e può:
• operare su una grande rete di computer da remoto; • scansionare automaticamente idispositivi e le reti ad essi collegati; • creare attacchi DOS; • effettuare attacchi spam;• compromettere altri dispositivi. Esistono due tipi principali di botnet:
• Centralizzate: sono comandate da un unico C&C, il quale impartisce i comandi e lecontrolla in modo totale. Se il botmaster viene però rintracciato e reso innocuo, essenon svolgeranno più la loro funzione; • Decentralizzate (tramite p2p): sono collegatetra di loro come una rete di pari ed ognuna impartisce ordini ai suoi nodi vicini. Inquesto modo se ne viene fermata una, le altre compiono comunque il loro lavoro.
Driver Verifier opera testando ciascun driver che viene caricato all’avvio diWindows; quando rileva qualcosa di “anomalo”, esso arresta il sistema, mostrando laclassica “finestra blu” (nota come BSOD – Blue Screen Of Death), dove vienedettagliatamente esposto il problema. verifier.exe, tasklist , services.msc(naturalmente accessibile anche tramite pannello di controllo-->strumenti diamministrazione-->servizi )
Una volta che il virus ha avuto accesso al sistema e si presenta come processo inesecuzione in memoria deve provvedere a garantirsi la sopravvivenza per il futuro, incaso contrario allo spegnimento del sistema cesserebbe di esistere.
Il metodo impiegato è quello di sfruttare supporti non volatili da usare come ospite:filesystem di dischi fissi, dischi removibili, risorse di rete etc. Si illustrano di seguitoalcune tecniche di replica usate dai virus.Virus a sovvrascrittura si sostituisconocompletamente al file ospite. Il file sostituito deve essere un file eseguibile(.exe, .com, .bat, .scr solo per citarne alcuni).
Quando l’utente o il sistema invocherà il file pensando che sia quello legittimo inrealtà attiverà il virus che verrà caricato in memoria.
14 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Le Macro delle applicazioni MS Office sono script programmati in VBA (VisualBasic for Application) che possono essere inclusi in documenti Word, Excel, Accessetc…
l virus in questo caso possiede una parte sempre residente in memoria che monitora alcunechiamate a funzioni del sistema operativo effettuate dai programmi. In questo modo, peresempio, un Boot Virus può verificare se una applicazione chiede di leggere il settore diboot o l’MBR. La principale differenza tra i virus e i worm: questi ultimi si replicanousando i protocolli di rete e le sue falle note, garantendosi un’autonomia invidiabile (fannotutto da soli, si replicano ed infettano senza alcuna interazione degli utenti), mentre i viruspossono diffondersi solo se veicolati da mezzi fisici o virtuali ben indirizzati come supportirimovibili o email e richiedono in ogni caso un minimo d’interazione da parte degli utenti(devono essere eseguiti e avviati). In sostanza sono molto simili tra loro, ma un Worm ha unlivello di replicazione molto più alto e spesso arreca danno senza nemmeno avviarlo emoltiplicandosi all’infinito in un solo PC intasando il disco rigido e la rete. Alcuni esempi diworm “Iloveyou” e il temuto worm “Conficker” un malware molto avanzato che integra alsuo interno le caratteristiche nocive di virus, trojan e worm.
Ransomware Divenuti tristemente noti tra la fine del 2014 e l'inizio del 2017, i ransomwareinfettano computer e smartphone, crittografando i file salvati all'interno delle loro memorie echiedendo in cambio un congruo riscatto (ransom in inglese).
Questa variante di trojan è molto pericolosa ed è responsabile della perdita di numerosimiliardi di dollari in tutto il globo, con tantissimi file personali cancellati e criptati persempre! Una vera e propria piaga sociale, a detta di molti analisti.
malware persistenti, infezioni particolarmente virulente che attaccano il sistemainformatico con diverse tipologie di malware che si attivano "a catena" non appenal'antivirus entra in funzione. Potrebbe accadere, ad esempio, che il malware eliminato forziil browser a collegarsi al sito dell'hacker e scaricare nuovamente i file infetti.
Malware dei firmware Probabilmente la tipologia più pericolosa in assoluto, i malware chesi installano all'interno dei firmware delle componenti hardware come BIOS della schedamadre, hard disk e altre periferiche.
◦ Boeing colpita da virus Wannacry, a rischio software aerei. L’infezione avrebbe avuto
origine a North Charleston, e sarebbe in continua diffusione. «Ho sentito che i 777(bracci robotici di assemblaggio) potrebbero essere bloccati», ha allertato ilmanager, indicando che il virus potrebbe estendersi alle funzioni di produzione edi test degli aerei, ed eventualmente agli stessi software dei veivoli.
NOTA COME RICONOSCERE LE TRUFFE E COME PROTEGGERSI
◦ Diffida da qualsiasi SMS, email o telefonata che ti chieda le informazioni di sicurezza.
15 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
◦ Diffida da tutti i messaggi che esplicitamente o tramite l’utilizzo di link ti richiedano informazioni
d’accesso o altre informazioni sensibili (es. il numero di cellulare) così come da chiamate di
presunti operatori della banca che ti propongono qualsiasi tipo di azione o che ti chiedono codici
dispositivi (OTP).
WEB
https://it.wikipedia.org/wiki/HTTP_Strict_Transport_Security
http://blog.sistemieservizi.net/wp-content/uploads/2016/06/infographic_hacker_update-gp-trans.png
https://www.garanteprivacy.it/regolamentoue/databreach
Malvertising ("malicious advertising") è un tipo di pubblicità online usata per diffondere malware.Questo tipo di pubblicità online causa la diffusione di malware tramite annunci pubblicitari legittimi,infettati da virus informatici, che vengono inseriti in siti web rispettabili. Questa è una tecnicaefficace e difficile da combattere perché permette ai malware di diffondersi facilmente su molti sitiweb senza comprometterli direttamente. I malware sono in grado di diffondersi in vari modi:esistono tipi di malvertising che diffondono malware a partire dal click dell'utente e altri chefunzionano invece automaticamente. I malware che possono essere diffusi in seguito all'azionedell'utente sono ad esempio quelli che dopo il click su un annuncio pubblicitario conducono ad unsito maligno. Altri malware invece possono essere causati da downloads ingannevoli, come adesempio falsi programmi anti-virus che installano software dannosi sui computer. Tra i tipi dimalware che funzionano senza l'azione dell'utente ci sono quelli che sono in grado di auto crearsicome nel caso dei reindirizzamenti automatici a siti web dannosi oppure quelli che sfruttano sitiaffidabili. Per prima cosa vengono visualizzate pubblicità pulite e sicure su siti web famosi perottenere una buona reputazione, successivamente inserendo un virus nel codice della pubblicità, imalware infettano tutti i visitatori durante l'arco di tempo in cui l'utente naviga sul sito.(Wikipedia)
ESEMPI
◦ Lazagne: https://github.com/AlessandroZ/LaZagne ==> lo scarichi, lo metti sul desktop e lo lanci! (The LaZagne
project is an open source application used to retrieve lots of passwords stored on a local computer. Each softwarestores its passwords using different techniques (plaintext, APIs, custom algorithms, databases, etc.). This tool has beendeveloped for the purpose of finding these passwords for the most commonly-used software. )
◦ Mimikatz x Windows
APPROFONDIMENTO
16 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Le 4 principali “nuove” minacce (Classificazione delle NUOVE MINACCE – CLUSIT - Rapporto 2019 sulla sicurezza ICT in Italia - aggiornamento di giugno 2019 - “due minuti dalla mezzanotte” (Estratto e remixato da Rapporto Clusit 2019 ):
1. Information Warfare e Cyber Guerrilla
La gestione dei conflitti scivola sempre più verso il piano “cyber”, innalzandocontinuamente il livello dello scontro senza dover fare ricorso ad eserciti ed armamentitradizionali. Questo significa entrare in una fase storica di cyber-guerriglia permanente,sempre più feroce, ovviamente non dichiarata ed anzi sistematicamente negata (sia dagliattaccanti che, in alcuni casi, addirittura dalle vittime). Per la natura dei mezzi utilizzati,questa dinamica non provoca particolare allarme o rifiuto da parte delle opinioni pubblichee dà ai partecipanti la sensazione di poter esercitare forme di pressione sempre maggiorisenza doverne rendere conto. Basti pensare a NotPetya, il singolo attacco più grave disempre (costato oltre 10 miliardi di dollari) che ha avuto conseguenze planetarie
2. Cyber espionage e sabotage
Un secondo elemento di grave preoccupazione è legato alle attività di cyber spionaggio esabotaggio, che sono in netta crescita ed assumono ormai le forme più svariate, dalla ormaicostante “guerra della percezione”, realizzata tramite fake news amplificate via SocialMedia, all’infiltrazione di infrastrutture critich, aziende ed istituzioni, al furto sistematico diogni genere di informazioni per finalità geopolitiche, di predominio economico etecnologico, di ricognizione e di “preparazione del terreno” in vista di ulteriori attacchi.Questo genere di minaccia è sempre più diffuso per due ragioni fondamentali: da un lato levittime non sono assolutamente strutturate per difendersi da questa tipologia di attaccanti, edall’altro forze dell’ordine e servizi di sicurezza non hanno le risorse sufficienti perpresidiare efficacemente questo fronte, anche considerato che la superficie di attaccopotenziale è sostanzialmente infinita. Un ulteriore motivo di preoccupazione legato alleattività di cyber spionaggio e sabotaggio scaturisce dal fatto che per gli attaccanti le“barriere all’ingresso” sono molto basse ed il rapporto costi-benefici è molto favorevole, ilche tra l’altro ha stimolato la proliferazione di gruppi mercenari state-sponsored cherealizzano campagne su commissione come subcontractor di strutture governative, e di unecosistema globale di fornitori di tecnologie e soluzioni “chiavi in mano” che sviluppanostrumenti sempre più potenti e sofisticati, di una qualità ben diversa rispetto a quelliutilizzati dal Cybercrime, a supporto di queste operazioni ( “espionage-as-a-service”)
3. Machine Learning (AI)
“weaponisation” (militarizzazione) delle tecniche di Machine Learning (sia in ambito civileche, a maggior ragione, militare), e dalla parallela crescita di tecniche di attacco sviluppatespecificamente per colpire queste piattaforme. Da un lato stiamo assistendo alle prime fasidell’utilizzo di tecniche di Machine Learning per la realizzazione di cyber attacchi conl’obiettivo di renderli sempre più efficaci e meno costosi, e dall’altro esiste ormai laconcreta possibilità che sistemi basati su AI possano essere silenziosamente alterati edindotti in errore tramite tecniche di “adversarial machine learning” oltre che, piùbanalmente, attaccati e compromessi con tecniche tradizionali. Va anche ricordato che in
17 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
questo settore la parte del leone (in termini di investimenti, di numero di ricercatori e dibrevetti) la fanno Stati Uniti e Cina, che ad oggi non sembrano preoccuparsiparticolarmente di questi aspetti del problema. Date queste premesse la nostra realisticaprevisione è che dal punto di vista della cyber-insicurezza globale e degli impatticonseguenti il Machine Learning rappresenti il “nuovo IoT”, ovvero un ulteriore frontesostanzialmente non presidiato, un Far West tecnologico nel quale la complessità e lamancanza di chiare responsabilità da parte di produttori, gestori e utenti finali rendonoimpossibile non solo l’applicazione di contromisure efficaci, ma anche il monitoraggio e lagestione dei rischi associati.
4. Surveillance Capitalism
Almeno in principio, non si tratta di una minaccia cibernetica puntuale, quanto piuttosto diun fenomeno socioeconomico che sta alterando modelli di business e relazioni umane,modificando equilibri di potere e perfino alterando il funzionamento delle democrazieliberali grazie ad una determinata applicazione della tecnologia digitale (che non ècertamente l’unica possibile), modellata in base agli interessi economici di pochemultinazionali high-tech, peraltro in modi (quasi sempre) leciti. Per quanto nella nostraanalisi vengano raccolti e classificati solo attacchi cyber “tradizionali” (realizzati cioè contecniche di hacking contro / tramite sistemi digitali), di fronte a questa vera e propriarivoluzione in atto sarebbe opportuno iniziare a considerare anche una nuova classe dicyber attacchi, realizzati (per esempio) grazie allo sfruttamento di lacune normative, allafumosità dei contratti di servizio al fine di ottenere il controllo pressoché totale delle vite,delle scelte e degli orientamenti (anche politici) di ciascuno. In questo senso abbiamovoluto inserire nel campione di incidenti del 2018 anche la vicenda “Cambridge Analytica”,considerandola a tutti gli effetti pratici una forma (nuova) di attacco cibernetico di tipo“corporate”. Non potendo approfondire il tema ulteriormente in questa sede, ci limitiamo asottolineare il problema della mancanza di trasparenza, accountability e socialresponsibility di questi soggetti privati, il che, dati gli strumenti e le risorse di cuidispongono, li rende oggettivamente pericolosi anche dal punto di vista “cyber”.
Nota Adversarial learning
(https://pralab.diee.unica.it/it/WhatIsAdversarialLearning)
L'Adversarial learning (o apprendimento automatico in ambiente ostile) è un nuovo campo di ricerca chesorge dall'intersezione tra il campo dell'apprendimento automatico e la sicurezza informatica. L'obiettivo
è quello di consentire un uso efficace e sicuro di tecniche di apprendimento automatico in ambienti ostilicome il filtraggio delle email di spam, la sicurezza informatica, e il riconoscimento biometrico.
Il problema è motivato dal fatto che le tecniche di apprendimento automatico non sono stateoriginariamente progettate per competere con avversari adattivi e intelligenti; pertanto, in linea di
principio, la sicurezza dell'intero sistema potrebbe essere compromessa sfruttando vulnerabilità specifichedi questi algoritmi, attraverso un'attenta manipolazione dei dati che vengono forniti in ingresso.
Quindi, per migliorare la sicurezza degli algoritmi di apprendimento automatico, il campo dell'adversariallearning si occupa dei seguenti problemi aperti:
18 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
1. identificare le vulnerabilità potenziali degli algoritmi di apprendimento automatico, durante la fase diaddestramento e di classificazione;
2. sviluppare i corrispondenti attacchi e valutarne l'impatto sul sistema attaccato
3. proporre contromisure per migliorare la sicurezza degli algoritmi di apprendimento automatico
contro gli attacchi considerati
------------------------------------ fine approfondimento -----------------------
Come accorgersi e difendersi dai maleware
http://www.fastweb.it/web-e-digital/come-sapere-se-il-computer-e-stato-infettato-da-un-
virus/
Se il computer comincia a rallentare è un sintomo che qualcosa non va. le prestazioni del
PC calano vistosamente. Se solitamente è possibile utilizzare quattro o cinque programmi
nello stesso momento e improvvisamente il computer non riesce ad aprire nemmeno la
calcolatrice, è un sintomo della presenza nell'hard disk di un virus
Un altro segnale proviene dal browser: se quando apriamo il programma per la
navigazione la pagina principale è differente rispetto a quella impostata, vuol dire che
qualcuno l'ha cambiata e nel 99% dei casi si tratta di un malware (rootkit)
Solitamente il rootkit oltre a far accedere l'utente a pagine non richieste,
fa aprire anche pop-up pubblicitari. Si tratta della stessa tecnica vista precedentemente:
mentre si naviga si apre un pop-up e per sbaglio l'utente ci clicca. L'hacker guadagna grazie
alla pubblicità
Se notiamo un'attività sospetta del computer durante le ore notturne è possibile che si
tratti di un malware. I virus e gli hacker non dormono mai e sfruttano la notte per utilizzare i
computer e svolgere azioni illegali.
Un altro segnale che il PC è stato infettato da un malware è la presenza di strani processi
nel task manager del PC. Se sullo schermo appaiono continuamente dei messaggi sul fatto
che la RAM è completamente occupata e stiamo utilizzando solamente uno o due
programmi, è molto probabile che sia il virus a rallentare il computer. Aprendo il task
manager possiamo controllare quali sono i processi che stanno "mangiando" le risorse del
computer
Gli hacker sviluppano malware sempre più intelligenti e pronti a rispondere alle offensive
degli antivirus. Se notate che la deframmentazione o altri tool simili non funzionano, è
probabile che sia opera di un virus, che ne blocca l'apertura in modo che non venga rimosso.
Uno dei sintomi più evidenti che il computer è stato infettato da un malware è quando i siti
web vi avvertono che il vostro IP è stato bannato e che non è possibile effettuare
l'accesso. In questi casi si dovrà mettere immediatamente in quarantena il malware ed
effettuare una scansione approfondita.
19 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Se l'antivirus non funziona la colpa può essere solo dei malware, che agiscono in modo
preventivo disattivando il programma di sicurezza. Per rimuovere il virus è necessario
installare un altro software o nel caso utilizzare un rescue disk, degli antivirus auto-attivanti
che permettono una scansione approfondita dell'hard-disk.
Nessun segnale Alcune volte i malware sono talmente astuti che non inviano nessun segnale.Lavorano in background, ma non mostrano nessuno dei sintomi precedenti. In questi casi per esseresicuri di non essere stati infettati si dovrà aggiornare Difendersi dai maleware
Su browser Ghostery è un' estensione del browser e applicazione mobile rivolta alla privacy e sicurezza, open source.
Ghostery consente agli utenti di controllare facilmente i tracciatori JavaScript che, inseriti in moltepagine web e molte volte invisibili all'utente, contribuiscono alla raccolta delle abitudini dinavigazione dell'utente o monitorano i comportamenti dell'utente in modo più sofisticato, adesempio tramite il fingerprint (*) dell'elemento canvas.
Ghostery blocca le richieste HTTP e reindirizza in base al loro indirizzo di origine in diversi modi:
Rilevando e bloccando script di monitoraggio di terze parti che vengono utilizzati dai siti webper raccogliere dati sul comportamento dell'utente per la pubblicità, la commercializzazione,l'ottimizzazione del sito e la sicurezza. Questi script, noti anche come "tag" o "trackers", sono latecnologia sottostante che consente di monitorare i cookie sui browser dei consumatori.
Curando continuamente una "libreria script" che identifica quando vengono rilevati nuovi scriptdi monitoraggio su Internet per bloccarli automaticamente.
Creando liste bianche di siti web su cui disabilitare il blocco di script di terze parti e consentirealtre funzionalità avanzate per gli utenti per configurare e personalizzare la loro esperienza.
Quando un tracker è bloccato, qualsiasi cookie piazzato dal tracker è reso non accessibile a nessunosalvo l'utente e pertanto non può essere letto quando richiesto in automatico da qualche scripthttps://it.wikipedia.org/wiki/Ghostery
(*) La fingerprint (impronta digitale) in informatica è una sequenza alfanumerica o stringa di bit di
lunghezza prefissata che identifica un certo file con le caratteristiche intrinseche stesse del file.
Il riconoscimento e l'autenticità del file vengono garantite confrontando l'" impronta" del file conun database in cui precedentemente era stata già memorizzata; se il confronto ha esito positivo allora ilfile è autentico.
20 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
21 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Virus - Scanner Primario:
Windows
22 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Bitdefener Antivirus Plus 2016
AVG Antivirus PRO
Avast Pro Antivirus
Come difendersi gratuitamente dai virus
https://www.virustotal.com/it/
Virus - Scanner Secondario: si tratta della seconda linea difensiva che aiuta a proteggere il nostro sistema informatico (e,soprattutto, i nostri dati) da attacchi informatici, incursioni esterne e tentativi di infezione virusAntimalware: migliori due sono Malwarebytes Anti-Malware e AdwCleaner. )
Malwarebytes antimalware: aggiornato molto frequentemente, ha la capacità di individuare
malware che solitamente sfuggono al controllo dei normali programmi di sicurezza
informatica.
Adw Cleaner
Hitman Pro: facendo leva su un motore di scansione cloud, è capace di controllare grandiquantità di file in un intervallo di tempo estremamente ridotto.
Kaspersky TDS Killer Anti-rootkit Utility, come dice il nome stesso, è progettato erealizzato per individuare ed eliminare rootkit, tra le tipologie di malware più perniciose ecomplesse da eliminare.
https://haveibeenpwned.com/ email / account
NOTA Attenzione agli Scareware
Bisogna, però, fare molta attenzione. Come si sa, dietro software apparentemente "legittimi"
possono nascondersi spyware, malware e altri programmi malevoli. Discorso che vale anche
nel caso degli scanner antimalware secondari: molti hacker e cyber criminali, infatti,
approfittano della buona fede degli utenti e spaccianosoftware pericolosi per portentosi
antivirus. Non manca, poi, chi invita a installare programmi "supplementari" (come barre
per browser, add on e plugin) che migliorerebbero le prestazioni del computer o, più in
generale, quelle della connessione Internet. Insomma, prima di installare uno scanner
secondario (ma il consiglio vale per qualunque altra tipologia di software scaricato da
Internet) assicuratevi che non sia uno scareware: cercate su Google notizie sui software che
state per installare (nel caso in cui non li conosciate già) e, nel caso la gran parte siano
negative, evitate di peggiorare la situazione.
23 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
tpm.msc
Un'intestazione di posta elettronica contiene informazioni che rappresentano il percorso che un'e-mail ha preso per arrivare a te, il nome e le informazioni IP di chi invia e riceve, e l'ora e la data in cui l'email è stata inviata
24 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
nb https://emkei.cz/ email
Le fasi di un attacco sono cinque Esplorazione e Footprinting
Scanning & Enumeration
Guadagnare l’accesso: è la fase più importante, in cui si riesce ad attaccare l’obbiettivo edaccedervi (può essere un sito web, una rete o un applicazione).
Mantenere l’accesso: in questa fase l’hacker può cercare di guadagnare i permessi di root( backdoor o un trojan)
Pulire le traccie: ad esempio essere la cancellazione dei file di log
Metodologie per il password cracking◦ Attacco a dizionario: in questo attacco, un file di testo (il dizionario) è caricato
all’interno del sistema
◦ Attacco a forza bruta: l’attacco a forza bruta consiste nel provare ogni singola possibilecombinazione fino a che non si trova quella corretta.
◦ Ibrido: combinazione delle precedenti tecniche
◦ Attacco passivo online questa tecnica consiste nel monitorare la rete in modo dacatturare un’eventuale password. Non è intrusiva, in quanto non si viene riconosciuti nelmonitoraggio e dopo averla sniffata si può tranquillamente craccare sul propriodispositivo. Ci sono tre sottotipi:sniffing di rete; Man-in-the-Middle (tradotto Uomo nelmezzo); • Replay;
◦ Attacco attivo online -è la via più semplice per avere accesso al sistema, i principalisono:indovinare la password;
▪ Keylogger; • Phishing; Esempio pratico sono entrato in una macchina UNIXutilizzando una vulnerabilità di Samba. Ora voglio trovare e craccare le password delsistema, come posso fare? Quando sono nel sistema, entro nella cartella dellepassword e apro il file shadow. Le password non sono ovviamente in chiaro, e peressere visualizzate necessitano di essere craccate. Per farlo utilizzerò uno dei sofwarepiù utilizzati, ossia John. Copio quindi le password trovate in un file di testo sul miodispositivo, apro John (versione GUI), carico il file e lancio l’attacco. Dopo pochiminuti trova subito la password di root (123456)
fig aa - Cfr https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions#gaohttps://www.us-cert.gov/sites/default/files/publications/DDoS%20Quick%20Guide.pdf
25 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
http://www.rainews.it/dl/rainews/articoli/Scuola-online-attacco-hacker-su-piattaforma-Axios-9-aprile-6a2ae98d-c149-4abf-8092-b027bfb09b64.html?refresh_ce
https://cwe.mitre.org/about/faq.html#A.1
http://security.polito.it/~lioy/01jem/TIGR_introsec_6x.pdf
( http://www.unite.it/UniTE/Engine/RAServeFile.php/f/File_Prof/MATANI_830/ sicurezza_ict2013.pdf
https://www.cybersecurity360.it/whitepapers/sicurezza-it-piu-visibilita-e-controllo-in-qualsiasi-luogo-momento-e-dispositivo/?utm_campaign=Lead&utm_source=mobility_3445&utm_medium=pulsante&campaignid=7013Y000001aofTQAQ WHITE PAPER Sicurezza IT: più visibilità e controllo in qualsiasiluogo, momento e dispositivo
Cosa ci aspetta in futuro?
Breve storia dei virus informatici
DDOS http://tecnologia.libero.it/cosa-sono-gli-attacchi-ddos-come-nascono-e-come-difendersi-1342
Rasnsomware http://www.cisco.com/c/m/it_it/offers/sc05/ransomware/index.html
http://www.corriere.it/tecnologia/17_giugno_27/hacker-contro-aziende-europee- chernobyl-colpita-centrale-e81f1bd0-5b7c-11e7-bb78-6494f8772d0c.shtml :Al momento sembrerebbe essere un ransomware più sofisticato di WannaCry: sebbenepresenti caratteristiche simili, come l’utilizzo di una versione modificata del codice diEternalBlue o quello che sembra essere il codice di EternalRomance (entrambi gli exploitdella Nsa sono in grado di attaccare più versioni del sistema operativo Windows, ndr), nelcaso di questa variante non sembrerebbe però essere possibile fermarne la propagazione daremoto. In seguito all’infezione, che sembrerebbe avvenire tramite l’apertura di un allegatomalevolo all’interno di un messaggio di posta, sul monitor dell’utente comparirà la richiestadel pagamento di un riscatto di circa 300 dollari in bitcoin (la criptovaluta ndr). Inoltre, ilransomware risulterebbe essere in grado di aggredire e infettare altri sistemi all’interno dellastessa rete», spiega. Varisco sottolinea che l’indirizzo email segnalato dall’«attaccante» percomunicare il pagamento del riscatto è stato bloccato dal provider nel primo pomeriggio:«Chiunque paghi, quindi, non avrà indietro i suoi file». Per ora nelle casse dei pirati del websarebbero entrati 7 mila dollari.
NotPetya si aggancia ad un file locale per diffondersi all'interno della macchina. E checreando un file di sola lettura dal nome “perfc” nella cartella C:Windows il ransomware nonha più possibilità di diffondersi (qui una guida dettagliata) https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/ BleepingComputer, a free community where people likeyourself come together to discuss and learn how to use their computers in an atmospherethat is both helpful and welcoming
26 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Come detto, NotPetya appartiene alla categoria dei ransomware, famiglia di malware chebloccano i personal computer e chiedono un riscatto (solitamente in bitcoin) per renderli dinuovo utilizzabili. Nonostante in molti casi la strada del riscatto possa sembrare la piùimmediata (soprattutto nei casi di attacchi contro aziende che hanno necessità di sblocchiimmediati per non fermare un ciclo produttivo), è anche quella meno consigliabile. Unattacco con ransomware ha origine ignota. È quasi impossibile sapere chi c'è dall'altra partedel tavolo e capire se sta barando. Le statistiche raccontano che molto spesso, nonostante ilriscatto pagato, il computer rimane inutilizzabile. La beffa, oltre al danno.
:i miner di criptovalute occultati all'interno di siti web, che sfruttano le risorse del PC dei
visitatori a loro insaputa. Willem de Groot, ricercatore di sicurezza indipendente, ha individuato2496 siti web che ospitano - per lo più inconsapevolmente - criptominer. De Groot ha indicatoche i siti in questione operano software obsoleto con problemi di sicurezza e vulnerabilità note,che sono state sfruttate da terze parti così da ottenere controllo e iniettare codice nel sito webpreso di mira.
Nel caso di un uso illecito, l’obiettivo dei cybercriminali consiste nello sviluppare malware sempre più sofisticati ma poco invasivi, e che in quanto tali risultano difficili da individuare, in modo da prolungare il più possibile, dato per scontato, ma non concesso, che prima o poi ilmalware sarà individuato, in modo da massimizzare la durata del mining sui sistemicompromessi e massimizzare il proprio profitto.
https://www.reportec.it/2018/07/12/cryptomining-malware-cyberark/
27 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Organizzazioni, Risorse e documentazione MITRE https://www.mitre.org/
SANS https://www.sans.org/
NSA https://www.nsa.gov/
CERT Italia https://www.certnazionale.it/
CLUSIT https://clusit.it/
NIST https://www.nist.gov/ The NVD is the U.S. government repository of standardsbased vulnerability management data
kaspersky https://cybermap.kaspersky.com/
norse http://www.norse-corp.com/map/
Tabella threats CERTI CERT sono organizzazioni, finanziate generalmente da Università o Enti Governativi, incaricate di raccogliere lesegnalazioni di incidenti informatici e potenziali vulnerabilità nei software che provengono dalla comunità degli utenti. InItlaia : CERT-IT, CERT GARR,CERT-PA, che è una struttura operante all'interno dell'Agenzia per l'Italia Digitale (AgID), ilMinistero della Difesa dispone di propri CERT, I CERT si stanno diffondendo anche nel settore delle imprese.
▪ DDoS Quick Guide
▪ https://www.us-cert.gov/sites/default/files/publications/DDoS%20Quick %20Guide.pdf
▪ https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions#gao
Mappe:
▪ Kaspersky https://cybermap.kaspersky.com/
▪ NORSE http://map.norsecorp.com/#/
28 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
CEH Security- Certified Ethical Hacker
“A Certified Ethical Hacker (CHE) is a skilled professional who understands and knows howto look for weaknesses and vulnerabilities in target systems and uses the same knowledge andtools as a malicious hacker, but in a lawful and legitimate manner to assess the security postureof a target system(s).” (06 System Hacking - Introduction to Ethical Hacking)
https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/ https://www.udemy.com/course/certified-ethical-hacker-practice-tests/
“ Ethical Hacking ) forma un esperto in Sicurezza Informatica che affronta tutte le tematiche necessarie per entrare nel mondo della protezione delle reti e più nello specifico nei test di sicurezza, possiede competenze relative all’ambitoburocratico, teorico e disciplinare, ma soprattutto è in grado di effettuare scelte strategiche nel settore relativo all’identificazione di vulnerabilità e debolezze, mettendo in atto le contromisure necessarie a difendersi dagli attacchi informatici.
Valutare i fattori di rischio per le diverse reti e definire delle policy di sicurezza; Ottimizzare il livello di sicurezza della propria azienda ed evitare il superamento delle barriere di protezione; Considerare i bug dei sistemi operativi e dei dispositivi di rete per i quali esistono exploit che consento di
ottenere accesso alle reti; Esercitarsi concretamente grazie alle simulazioni pratiche di Penetration Test.
- Concetti base ed approccio orientato alla Sicurezza- Le normative nazionali ed internazionali in ambito Cyber Security- I reati informatici- Principi base di crittografia a chiave simmetrica ed asimmetrica- Raccolta delle informazioni: information gathering attivo e passivo
29 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
- Scansione ed enumerazione di una rete- Le vulnerabilità: analisi, classificazione e gestione- Analisi del traffico di rete e riconoscimento delle tecniche di evasione- Reti Wireless: analisi e strumenti di attacco- Codici malevoli: evoluzione, tipologie e tecniche di detection- Web Application Security- Laboratorio di Penetration Test
(di Andrea Minigozzi)
NOTA certificazioni sicurezza : https://www.isc2.org/Certifications/CISSP https://www.autopsy.com/support/training/covid-19-free-autopsy-training/?fbclid=IwAR2n2_VMty91pJipxUgWygxyWidH2oE9bVPAnS8kLFOsfzLEhja9Mk9tSfs https://www.cybrary.it/ certificazioni gratuite
IoT HackingPresentazione Sicurezza IoT (Paolo Macchi): https://tinyurl.com/slp96to
https://tinyurl.com/IoTCyberSEc IoT Hacking online – paolo macchi 2020
ShodanMIRAI : Botnet con dispositivi IoT
https://github.com/jgamblin/Mirai-Source-Code MIRAI code
https://www.researchgate.net/publication
316879758_AN_EXTENDED_ANALYSIS_OF_AN_IOT_MALWARE_FROM_A_BLACKHOLE_NETWORK_Paper_type_Keywords pag 3
---- https://clusit.it/rapporto-clusit/
intelligente/garage_principale.shtml
30 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
https://www.smauacademy.it/play/internet-of-things-e-i-rischi-per-la-sicurezza/?source_type=unknown&source_page=unknown
Trend http://www.trendmicro.it/
Un esempio in PT
IoT – Sicurezza (PT 4.2.3.3 Iot)
“ABC Compnay” sta sviluppando sistemi IoT nel loro magazzino principale. L'obiettivo è inserire alcuni dispositivi disicurezza fisica nel magazzino in modo che, quando il magazzino è chiuso, questi dispositivi monitorino le porte e le
finestre. Quando viene rilevato un intruso, le luci si accendono e le videocamere Web iniziano a registrare. Per farequesto vengono prese alcune misure:
un rilevatore di movimento, una luce diretta, una webcam e un sensore di scatto : quando il rilevatore dimotioin o il sensore di scatto sono attivati, la luce diretta e la webcam si accendono (Aggiungere le condizioni
nel server di registrazione).
Configurare il router del magazzino in modo da richiedere un'autenticazione avanzata per la console e
l'accesso remoto.
Configurare gli ACL per limitare il traffico di rete tra il server di registrazione e il magazzino dell'azienda
ABC.
Configurare il server Web nel provider di servizi cloud
Server : paolo , Paolo123456
31 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Sicurezza:
You will configure strong authentication for a wireless connection on the WH gateway device:
1. Within the warehouse, click on the WH Gateway device → Authentication to WPA2-PSK (Encryption
Type as AES).
2. Laptop set the SSID to WhGateway1, set Authentication to WPA2-PSK
Warehouse 2911 router,
Configure Access Lists to Restrict Traffic between ABC Company IoT devices and the Cloud Service Provider Network◦ On the warehouse router, configure and apply access list 10 to allow traffic from only the DNS server and
the registration server to enter the ABC Company warehouse IoT devices network◦ On the Cloud Service Provider router, configure and apply an access list 110 to allow traffic from only the
ABC Company warehouse IoT devices network to access the registration server:HTTPS is on
Password e integrità dei dati
My IP
http://www.whatsmyip.org/ Trova l’IP pubblico della propria connessione, Who Is e What IP
http://www.visualroute.it/strumenti/traceroute.asp - tracert
ipconfig
32 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
HASH INTEGRITA’ (hash calc)
hash (MD5, SHA-1, SHA-256 e SHA-512 ) HashCalc http://www.slavasoft.com/download.htm online: http://onlinemd5.com/ Gli hacker possono determinare le password originali confrontando milioni di valori di hashing precalcolati.
PASSWORD
Parola chiave: diversificato il rischio
';--have i been pwned? («Sono stato bucato?» ) che da anni conserva il risultato disuccessivi furti di dati ai danni di Yahoo!, Facebook, Twitter, Adobe, YouPorn e via dicendo.Andando su questo sito è possibile scoprire se si è stati oggetti del furto.https://haveibeenpwned.com/ (https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/ https://www.corriere.it/tecnologia/19_gennaio_18/scoperto-maxi-furto-dati-online-rubati-730-milioni-mail-password-058ca2d2-1ab2-11e9-b5e1-e4bd7fd19101.shtml )
generatore di password https://passwordsgenerator.net/ https://preshing.com/20110811/xkcd-password-generator/
gestione password https://www.lastpass.com/it
«single sign-on». “Ci evita di dover inserire ogni volta i nostri dati, oltre a dover sceglierepassword sempre nuove. Ma ha due controindicazioni: la prima è che può fornire piùinformazioni di quante siano necessarie (non serve dare la nostra data di nascita a un sito percondividere documenti). La seconda riguarda la sicurezza. Questi sistemi si basano suprotocolli come OAuth 2.0 e, se qualcuno dovesse scoprire una vulnerabilità strutturale,potrebbe conquistare in un colpo solo tutte le sessioni attive dei siti ai quali ci siamoregistrati con le credenziali social.” https://www.corriere.it/tecnologia/provati-per-voi/cards/world-password-day-basta-le-vecchie-regole-come-fare-crearne-davvero-sicura/evitiamo-social-login.shtml
ESERCITAZIONE : Ricerca sulle violazioni della sicurezza a. Usa i link forniti per esaminareepisodi di violazione della sicurezza avvenuti in diversi settori per compilare la tabella seguente.
incidente Ente interessato Gravità Quante vittime? Che cosa è stato sottratto?
In che modo ti proteggi? Fonte di riferimento
ESERCITAZIONE : Crea e memorizza password complesse
Obiettivi Comprendere i concetti alla base delle password complesse.
Parte 1: Esplora i concetti alla base della creazione di password complesse. Parte 2: Esplora i concetti alla base della memorizzazione sicura delle password.
33 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Parte 1: Creazione di una password complessa
Le password complesse (strong) presentano le seguenti quattro caratteristiche principali, indicate in ordine di importanza:
1. Gli utenti possono ricordarle facilmente. 2. Non possono essere indovinate con facilità da altre persone. 3. Non possono essere indovinate o scoperte con facilità da programmi appositi.4. Devono essere complesse, contenere numeri, simboli e una combinazione di lettere
maiuscole e minuscole. Alla luce dell'elenco precedente, il primo requisito è probabilmente il più importante, perché gliutenti devono essere in grado di ricordare le proprie password. Ad esempio, la password #4ssFrX^-aartPOknx25_70!xAdk<d! è considerata una password complessa, perché soddisfa gli ultimi trerequisiti, ma è molto difficile da ricordare.
Molte aziende impongono che le password contengano combinazioni di numeri, simboli e letteremaiuscole e minuscole. Le password che rispettano questa policy rappresentano una validasoluzione nella misura in cui gli utenti possono ricordarle facilmente. Ecco un esempio di policysulle password molto diffusa tra le aziende:
La password deve essere lunga almeno 8 caratteri La password deve contenere lettere maiuscole e minuscole La password deve contenere valori numerici La password deve contenere un carattere non alfanumerico
Ora, esamina le caratteristiche delle password complesse indicate in precedenza e la policy. Perchéla policy ignora le prime due voci dell'elenco? Spiegazione. Un metodo valido per creare password complesse consiste nello scegliere in modo casualequattro o più parole e unirle in un'unica stringa. La password televisioneranastivalichiesa è più complessa di J0n@than#81.
Osserva che, sebbene le password del secondo tipo siano conformi alle policy sopra indicate, iprogrammi per violare le password sono molto efficienti nell'indovinarle. Invece, quantunque moltepolicy non considerino accettabili password del primo tipo, televisioneranastivalichiesa è molto piùcomplessa. Viene ricordata facilmente dagli utenti (specialmente se associata a un'immagine), èmolto lunga e la modalità casuale con cui viene creata la rende difficilmente determinabile da partedei programmi per la violazione di password.
Utilizzando uno strumento online per la creazione di password, crea una o più passwordapplicando la serie di policy sopra descritte che vengono comunemente adottate dalle aziende.
Apri un browser Web e accedi al sito http://passwordsgenerator.net Seleziona le opzioni necessarie per rispettare l'elenco di policy per le password Genera la password.
La password generata è facile da ricordare? Utilizzando un software online, crea password basate su parole scelte a caso. Osserva che, dal momento che vengono accodate le une alle altre, le parole non vengono rilevate all'interno di alcundizionario.
34 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Apri un browser Web e accedi al sito http://preshing.com/20110811/xkcd-password-generator/
Genera una password basata su parole casuali facendo clic su Generate Another! nella parte superiore della pagina Web.
La password generata è facile da ricordare?
Parte 2: Memorizzare le password in modo sicuro
Se gli utenti scelgono di utilizzare uno strumento per la gestione delle password, è possibileignorare il primo requisito, poiché lo strumento è accessibile in qualsiasi momento. Si noti chealcuni utenti affidano le password unicamente alla loro memoria. I software per la gestione delle password, locali o remoti, devono disporre di un archivio che, però,può subire violazioni. L'archivio del software per la gestione delle password deve essere sottoposto a un procedimentorobusto di crittografia e gli accessi devono essere rigorosamente controllati. Grazie alle app percellulari e le interfacce Web, i software basati su cloud per la gestione delle password garantisconoagli utenti un accesso ininterrotto. o LastPass e 1password: sono casseforti online che raccolgono tutte le chiavi e le rendonoaccessibili da qualunque dispositivo. Il tutto viene protetto con una «master password», che sbloccagli accessi. Anche in questo caso, è disponibile la doppia autenticazione. Se non vogliamo affidareinformazioni più preziose a un servizio terzo, possiamo usare KeePass Un software per la gestionedelle password molto diffuso è Last Pass (Nel giugno del 2016 il server centrale di LastPass è statoviolato )
Crea un account Lastpass di prova: Apri un browser Web e accedi al sito https://lastpass.com/ Fai clic su Start Trial per creare un account di prova. Compila i campi attenendoti alle istruzioni. Imposta una password master. Questa password ti consente di accedere all'account LastPass
che hai creato. Esegui il download del client di LastPass adatto al sistema operativo che usi e installalo.
35 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Apri il client ed esegui l'accesso con la password master LastPass. Esamina il software per la gestione delle password LastPass.
A mano a mano che aggiungi password in LastPass, dove vengono memorizzate? Oltre a te, esiste almeno un'altra entità che ha accesso alle password che hai creato. Qual è
questa entità? Sebbene possa essere molto comodo avere tutte le password memorizzate, questa
circostanza presenta alcuni svantaggi. Puoi indicarne alcuni?
Parte 3: Quindi, in che cosa consiste una password complessa? Alla luce delle caratteristiche delle password complesse illustrate all'inizio di questo laboratorio,scegli una password facile da ricordare, ma difficile da indovinare. Le password complesse sonoadatte nella misura in cui non inficiano l'applicazione di requisiti più importanti, come la capacità diricordarle facilmente. Se utilizzi un software per la gestione delle password, puoi ignorare il requisito per cui la passwordsia facile da ricordare. Ecco un breve riepilogo:
Scegli una password che ricordi facilmente. Scegli una password che gli altri non possono associare alla tua persona. Scegli password diverse e non utilizzare mai la stessa per più servizi.
Le password complesse sono adatte nella misura in cui non sono troppo difficili da ricordare.
Ora prova: https://password.kaspersky.com/it/ la tua password è stata hackerata (pwned = battere o umiliare qualcuno)
https://haveibeenpwned.com/ Pssword manager http://www.ottimizzazione-pc.it/scegliere-il-password-manager-adatto/ http://www.corriere.it/tecnologia/cyber-cultura/17_agosto_14/guru-password-fa-marcia-
indietro-continuare-cambiarle-non-serve-niente-451fc798-80e0-11e7-a22e-bc23e3b97596.shtml
Backup
a. Collega un'unità esterna. b. Esegui la funzione Cronologia file utilizzando il percorso seguente: Pannello di controllo > Cronologia file > fai clic su Attiva
Oppure sfrutta il cloud, ad esempio Dropobox
36 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Firewall Proxy e Routerhttp://www.itchiavari.org/ict/ipcop/ipcop08.html https://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-security-profiles/Web_Filter/web_filter_chapter.htm FORTINETuse case scuola https://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-security-profiles/Web_Filter/Web%20Filter%20Examples.htm
Router Multifunzione
IntroduzioneUn esercizio di laboratorio che può essere effettuato disponendo di risorse limitate potrebbe esserequello di configurare in tutti i suoi aspetti un Router Multifunzione, come quelli che si trovanospesso negli ambienti domestici e che vengono forniti direttamente dal fornitore di servizi (ISP) osono acquistati dall’utente. Questi dispositivi racchiudono le funzioni di routing, modem, switch e access point. Il vantaggio diquesti dispositivi sta nel loro basso costo e nelle buone prestazioni se usati in ambito domestico o inuffici di piccole società. Naturalmente se il numero dei dispositivi da collegare aumenta e sirichiedono prestazioni superiori occorre passare dal sistema intgrato ai singoli dispositivi (router,access point e switch) da acquistare separatamente.
In questo esempio ci baseremo sul “Dispositivo Multifunzione con Router Integrato” , LinksysLinksys E900 (successore del vecchio WRT300N) dal costo e prestazioni più che accettabili.
NOTA I computer che eseguono versioni a 64 bit di Windows in genere hanno più risorse, adesempio potenza di elaborazione e memoria, rispetto ai predecessori a 32 bit. Le applicazioni a 64bit possono inoltre accedere una quantità di memoria maggiore rispetto alle applicazioni a 32 bit(fino a 18,4 milioni di petabyte). Se quindi gli scenari prevedono file di grandi dimensioni e/o siusano grandi set di dati e il computer esegue una versione a 64 bit di Windows, la versione a 64 bitè la scelta giusta quando
Il progetto con Packet TracerPrima di utilizzare l’apparecchiatua fisica , vediamo di realizzare un progetto con Packet Tracer(PT) che simula il caso reale (fig1). Questo ci dà la possibilità di analizzare il dispositivoesattamente come se fosse nella realtà e di studiarne le caratteristiche. Infatti cliccando sull’iconadel router e aprendo la finestra “GUI” avremo la possibilità di navigare nei menu del dispositivoallo stesso modo dell’apparecchiatura reale.
37 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
-fig 1 il progetto in PT-
Una volta realizzato e studiato il progetto con PT passiamo a collegare fisicamente il dispositivo aun Persnal Computer tramite un cavo Ethernet (connettore RJ45) come in fig.2. Nella figura, il cavoBlu è usato per collegarsi alla rete Internet, mentre il cavo grigio è usato per il collegamento Router-PC
-fig 2- Il banco di prova della connessione PC-E900
Quando un terminale viene collegato al router (che ha un indirizzo IP, di fabbrica 192.168.1.1), ilservizio DHCP in esso abilitato, assegna automaticamente un indirizzo IP al terminale.
38 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Conviene verificarlo andando nella finestra a riga di comandi (“cmd” di Windows) e digitare ilconando “ipconfig” (fig.3)
39 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Fig.3 l’indirizzo IP assegnato dal DHCP al terminale
Conviene anche operare un “ ping” al router (192.168.1.1) controllando la correttezza delcollegamento:
Una volta che ci siamo accertati della corretta connessione dei dispositivi, apriamo il browser sulnostro PC e colleghiamoci al router per configurarlo (fig.4). Digitiamo l’indirizzo del router(192.164.1.1).Ci viene mostrata la richiesta delle credenziali (login, password) che, la prima volta, sono indicatenel manuale d’uso o nel CD di istallazione del software di E900.
40 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Fig 4. La richiesta di credenziali per accedere al menu di configurazione
Il router presenta un menu diviso in varie sezioni. Nella barra orizzontale sono presentate le voci diConfigurazione, Wireless, Protezione, Applicazioni, Amministrazione, Stato.Nella barra verticale (barra di sinistra) le varie voci realtive ai servizi offerti (Lingua,Configurazione Internet, etc.). Automaticamente, all’apertura, si apre il menu “Configurazione / Configurazione di Base” (fig.5).In particolare alla voce “Configurazione di rete” viene mostrato l’indirizzo del router e la mascheradi sottorete. Questi parametri (come tutti gli altri) sono assegnanti di default dal costruttore (allaprima accensione o al reset dl dispositivo), ma possono essere cambiati dall’amministratore dellarete.
41 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Fig.5 - i menu di configurazione
Andiamo a scoprire alcune delle funzioni possibili proposte dal menu.
42 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Firewall IPTABLES
Introduzione : http://staff.icar.cnr.it/cannataro/unical/RSI/Esercitazioni-05-06/RSI-Esercitazione01-Firewall-Tomcat-Axis.pdf e http://www-lia.deis.unibo.it/Courses/AmmReti2003/esercitazione2.pdfhttp://openskill.info/topic.php?ID=124 http://ipset.netfilter.org/iptables.man.html
IPTABLES Consente di controllare il traffico di rete in diversi momenti del processo di trasferimento tramite l’applicazione di regole.
Prerouting Input Forward Output Postrouting
E’ costituito da 3 catene fondamentali: INPUT (pacchetti in entrata) OUTPUT (pacchetti in uscita) FORWARD (pacchetti in transito)
Inserendo le regole in queste catene saremo in grado di controllare i dati
Per ogni regola ci sarà un TARGET: ACCEPT (lascia passare il pacchetti) DROP (scarta il pacchetto) QUEUE (passa il pacchetto all’userspace) - RETURN (blocca la catena e ritorna alla catena chiamante)
-L “catena” – lista di regole in quella catena -F “catena” – ripulisce la catena dalle regole -Z “catena” – azzera i contatori di tutte le reg.
43 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
-A “catena” – appende una nuova regola - I “catena” “num. regola”- ins. la reg. al num. -D “catena” “num. regola” – cancella la regola -v –informazioni sul comando invocato -j “target” – se matcha la regola salta al target indicato
Una regola è una espressione del tipo: “parametri regola” “opzioni” I principali parametri sono i seguenti: -p [tcp,udp,icmp,all] – Protocollo (def. all) -s “source address/mask”-Indirizzo sorgente -d “destination address/mask”-Indirizzo dest. -sport –Porta di origine o intervallo -dport –Porta di destinazione o intervallo
Filtraggio in base all'IP Una possibile soluzione: • iptables -A INPUT -p icmp -s 192.168.69.101/32 -j DROP iptables -A INPUT -p icmp -j ACCEPT
Blocco di un solo tipo di messaggio icmp . Una possibile soluzione può essere: iptables -A INPUT -p icmp –icmp-type echo-reply -j DROP
Supponiamo di voler consentire l’accesso alla porta 80 locale:- Iptables –t filter –I INPUT –p tcp –dport 80 –j ACCEPT- -t filter (indica che ci stiamo riferendo alla tabella filter che è anche quella di default) - Tabella nat (attività di natting) - Tabella nangle (interviene sulle alterazioni di pacchetti)
Supponiamo di voler consentire ad un pacchetto con IP 10.0.0.0.4 di raggiungere il server 192.168.0.1 attraverso il firewall:- Iptables –I FORWARD –s 10.0.0.4 –d 192.168.0.1 –j ACCEPT
Supponiamo di voler permettere ad un host in uscita tutto e in entrata solo ciò che è correlato a quanto uscito: -iptables –I INPUT –m STATE –state ESTABLISHED,RELATED –jACCEPT -iptables –I OUTPUT –m state –state NEW,ESTABLISHED,RELATED –j ACCEPT
Log dei pacchetti (2) Una possibile soluzione può essere: iptables -A INPUT -p icmp –icmp-type echo-request -j LOG –log-level debug
Supponiamo di voler permettere ad un host in uscita tutto e in entrata solo ciò che è correlato a quanto uscito:
-iptables –I INPUT –m STATE –state ESTABLISHED,RELATED –jACCEPT -iptables –I OUTPUT –m state –state NEW,ESTABLISHED,RELATED –j ACCEPT
Costruzione:http://www.odcec.an.it/files/rassegnastampa/iptables.pdfhttp://www.oilproject.org/lezione/costruzione-di-un-firewall-servendosi-di-iptables-257.html
esercizi
44 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
https://www.issgreppi.gov.it/corsi/claroline/backends/download.php?url=L1NpY3VyZXp6YS9Fc2VyY2l6aV9OQVRfZV9GaXJld2FsbC5wZGY%3D&cidReset=true&cidReq=VIL_SYS_3TA
https://homes.di.unimi.it/donida/linux/Lezione%209%20-%20Sicurezza%20in%20Linux%20-%20Esercizi.pdf
Wireless. da questo menu è possibile impostare il nome della rete (SSID), in questo caso “CobaltoGioco”, lamodalità di rete e il canale da usare (fig. 6)
Fig. 6 – nome della rete, la modalità, canale da usare
ProtezioneLe voci di questo menu permettono di scegliere le modalità di protezione (cioè i protocolli crittografici da ssociare alla trasmissione dei dati) e la chiave (Passphrase) (fig. 7).
Fig 7 Protezione Wi-Fi
E’ anche possibile, ad esempio, filtrare gli indirizzi MAC dei dispositivi che possono accedere alla rete Wi-FI (fig.8).
Fig. 8 filtro degli indirizzi MAC dei dispositivi abilitati
ProtezioneIl menu permette, tra le alte cose, di impostare un firewall per la sicurezza, evitando, ad esempio accessi anonimi (fig. 9)
Fig.9 impostazione parametri del firewall per la sicurezza
ApplicazioniIn questo menu è possibile attivare un DMZ in modo da indirizzare il traffico in ingresso (tutto o inparte), su un server con un particolare indirizzo IP di destinazione (fig.10).
Fig 10 - attivazione DMZ
Amministrazione/GestioneDa qui è possibile amministrare i parametri di sistema cambiando, ad esempio, la password odando la possibilità di accedere da remoto, anche in modo sicuro (https)., fig. 11
45 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Fig.11 - amministrazione dei parametri di sistema
Fortigate Firewall
https://www.fortinet.com/it/solutions/small-business/connected-utm.html
Le soluzioni FortiGate - Unified Threat Management (UTM)
le funzioni UTM Connected di Fortinet si possono trovare in un unico dispositivo tutte le più completefunzioni di sicurezza di rete:
Application Control, IPS (Intrusion Prevention System)
Antivirus
Antimalware
Web Filtering
VPN
FortiOS è un sistema operativo ad hoc con sicurezza avanzata che costituisce la piattaforma software dei sistemi di sicurezza
46 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
di rete multi-threat FortiGate. Sfruttando l'accelerazione hardware fornita dai processori FortiASIC per contenuti e rete, FortiOS consente il controllo dei contenuti in tempo reale,nonché la scansione di pacchetti euristica e basata su firme per una protezione avanzatacontro le minacce.
Proxy Server
Un server proxy è un computer dedicato, o un software in esecuzione su un computer,che funge da intermediario tra un client che richiede un servizio e un server che fornisce ilservizio. Il server proxy può essere in er firewall o può essere su una macchiana separata.Un proxy è spesso usato in una reti aziendali per due scopi principali.
Il primo è quello di canalizzare le comunicazioni da e verso il mondo esternoattraverso un unico punto di connessione, assicurando così l'anonimato di tutti icomputer sulla rete interna.
Il secondo scopo è quello di memorizzare nella cache il contenuto. Ciò significa chei contenuti esterni scaricati di recente vengono salvati localmente per un certoperiodo di tempo e le richieste successive da parte dell'utente (o di altri) potrebberoutilizzare i dati salvati di recente. Ciò consente di risparmiare larghezza di bandasignificativa, con conseguente riduzione dei costi operativi (fig.p1).
47 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Fig. p1 - Proxy Server http://whatis.techtarget.com/definition/proxy-server
VPN
La necessità primaria di aziende, cooperative, società o qualunque altro genere di organizzazione èlo scambio di dati ed informazioni fra sedi remote. Le VPN (Virtual Private Network) permettonodi collegare reti private attraverso una rete pubblica (Internet). I vantaggi offerti da questatecnologia sono molteplici, ma sono tali dal punto di vista della sicurezza? Possiamo realmentefidarci di trasmettere dati sensibili attraverso Internet? La crittografia dei dati è alla base delconcetto di VPN. Esistono soluzioni proprietarie che utilizzano Server VPN, come Cisco, che èbasata su IPSEC. Altre soluzioni IPSEC sono implementate a livello Network e tutto il protocollo èprogettato per essere realizzato con una modifica allo stack IP in kernel space.
“ (Gateway Sistemi e Reti terzo Volume)
Le reti VPN sono:
private” perché la comunicazione tra LAN remote le fa apparire come appartenenti allastessa rete privata condividendo gli stessi indirizzamenti (privati) e le policy di sicurezza;
virtuali” perché i collegamenti non sono fisici, ma logici sopra una infrastruttura di retepubblica.
Nella maggior parte dei casi una VPN utilizza Internet come infrastruttura geografica, anche se, inrealtà aziendali più sofisticate e conrichieste di livello più alto, ci si appoggia aretigeografichefornite da un operatore di telecomunicazioneche eroga il servizio utilizzando specifici protocolli.
La VPN permette la creazione di “tunnel virtualinei quali i dati sono cifrati all’entrata del tunnel
e decifrati all’uscita, in modo che possano viag-giare in modo sicuro e protetto anche in una retepubblica come Internet
Perché utilizzare una VPN?
Sono due le principali motivazioni che spingono ad utilizzare una VPN:
48 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
•la necessità, da parte di utenti privati o meno, di proteggere la privacy navigandonell’anonimato e di aggirare eventuali blocchi presenti su base geografica che nonpermettono l’accesso a determinate risorse (VPN ad accesso remoto). VPN ad accessoremoto consentono, tutelando la privacy, di raggiungere in rete quelle risorse che altrimentisarebbero inaccessibili.
Per implementare una VPN ad accesso remoto, e creare il tunnel di collegamento tra il cliente il server del fornitore, è necessario che l’utente acquisti il servizioVPN da un ISP e cheinstalli sul proprio dispositivo un “client VPN” impostando il server del provider. Ilpacchetto dati, con l’IP dell’utente, viene criptato e inviato al server VPN che provvede adecifrarlo e presentarlo in Internet con il proprio indirizzo IP, mascherando completamentel’origine del pacchetto . Le VPN ad accesso remoto consentono anche a un dipendente chelavora in mobilità, e che fisicamente si trova distante dalla sede aziendale, di utilizzare le ri-sorse di rete come se fosse presente. In questo caso è la società stessa a fornire alpropriodipendente il client-VPN da installare sul dispositivo e a definire le regoledi accesso aipropri server
l’esigenza di collegare sedi lontane e distaccate di un’azienda alla rete della sede centralein modo sicuro (VPN site-to-site).”
NOTA OpenVpn (https://openvpn.net/ )è una soluzione Open Source che opera in user space, creando un tunnelpoint-to-point TCP over UDP che permette la creazione di VPN. OpenVPN.
OpenVPN implementa una crittografia basata sulla condivisione di una chiave segreta fra le postazioni dellaVPN. La crittografia dei dati in contesto simmetrico verrà realizzata con l'algoritmo blowfish.
(http://www.pluto.it/files/journal/pj0505/openvpn.html) https://it.wikipedia.org/wiki/OpenVPN
OpenVPN Access Server can be installed and offer secure access. In the diagram on the right, users on their
desktop computers and mobile devices are using the OpenVPN client program to make a secure connection over the Internet to the OpenVPN Access Server. https://openvpn.net/vpn-server-resources/use-cases-for-the-openvpn-
access-server-product/
“The Best VPN Services for 2019” https://www.pcmag.com/article2/0,2817,2403388,00.asp free VPN
https://www.pcmag.com/roundup/285788/the-best-free-vpn-services
49 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
http://www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html
http://www.cs.unibo.it/~margara/page2/page6/page25/assets/Nardelli.pdf
https://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-secure-mobility-client/at_a_glance_c45-578609.pdf
Sempre più, i dipendenti desiderano lavorare su laptop aziendali e mobili personalidispositivi da qualsiasi luogo. Con Cisco AnyConnect Secure Mobility Client (Figura 1), èpossibile. Cisco AnyConnect è un agente endpoint di sicurezza unificato
50 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
che offre molteplici servizi di sicurezza per proteggere l'azienda. Fornisce anche lavisibilità e il controllo necessario per identificare chi e quali dispositivi accedono all'impresaestesa. L'ampia gamma di servizi di sicurezza Cisco AnyConnect include funzioni comel'accesso remoto, applicazione posturale, funzionalità di sicurezza Web e protezione diroaming. Cisco AnyConnect dàil vostro dipartimento IT tutte le funzionalità di sicurezzanecessarie per fornire un robusto, facile da usare eesperienza mobile estremamentesicura.AnyConnect Secure Mobility Client è un prodotto software modulare per endpoint.Non fornisce solo l'accesso VPN tramite Secure Sockets Layer (SSL) e IPsec IKEv2 maanche offre maggiore sicurezza grazie a vari moduli integrati. Questi moduli fornisconoservizi di questo tipo come
conformità tramite VPN con ASA o tramite connessione cablata, wireless e VPNcon Cisco Identity
Motore dei servizi (ISE), sicurezza Web accanto a Cisco Cloud Web Security, visibilità della rete in endpoint scorre all'interno di Stealthwatch o protezione di
roaming off-network con Cisco Umbrella. Un modulo AnyConnect integrato implementa la sicurezza Web tramite l'appliance
Cisco Web Security on-premise Cloud Cloud Web Security .Combinazione di sicurezza Web con accesso VPN,
mobilità completa e altamente sicura, che è vitale per il dispositivo personale(BYOD).
NOTA AAA
Quando a un gateway di accesso VPN (firewall o router) arriva unarichiesta per stabilire un tunnel, da un
client remoto, viene richiesto nome utentee password, che possono essere verificate localmente sul gateway,
o inviata al server AAA (Autenticazione, Autorizzazione, Accounting) che effettua:
◦ Autenticazione (“chi sei”). Verifica l’identità di un utente (per esempionome utente e password)
per permettere l’utilizzo di una risorsa.•
◦ Autorizzazione (“cosa ti è permesso fare”). Definisce l’insieme delle ope-razioni e dei servizi
a cui l’utente può accedere. Per questo possono essereutilizzati l’elenco delle operazioni
ammesse (ACL) insieme ai privilegi di cuil’utente dispone. Un conto è essere riconosciuto dal
sistema, un altro è poterfare tutte le operazioni possibili. Una studente, per esempio, può
accederealla rete scolastica ma non leggere o modificare i dati anagrafici di compagnie
insegnanti.
◦ Accounting (“quali operazioni hai svolto realmente”). Tiene traccia dell’u-tilizzo di una
risorsa da parte dell’utente per fini di sicurezza, statistici e ditariffazione. Possono essere
51 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
controllati e salvati gli accessi, il tempo di perma-nenza nel sistema, le modifiche apportate, le
operazioni fatte ecc. (Gateway sistemi e reti vol3 – seconda edizione, 2020)
IP Security (IPSec) Cfr. Reiss romoli : http://www.iiscastelli.gov.it/documents/Dipartimenti/Tlc/ct18_VPN%20_IPSec_e_SSL.pdf
Protezione inserita a livello IP, può garantire un utilizzo sicuro della rete ad applicazioni: sia dotatedi meccanismi di sicurezza, sia a quelle che non ne dispongono.
Aree funzionali principali:
Autenticazione Autenticità ed integrità Riservatezza Anti-replay
Gestione delle chiavi IPSec, nato per IPv6, è disponibile per IPv4.
Servizi forniti dal protocollo IPSec
Una VPN IPSec serve a realizzare le seguenti funzionalità: impedire ad ascoltatoriindesiderati di comprendere il traffico dati (confidenzialità); impedire ad un intruso diindividuare parametri di rete del traffico, come ad es. l’indirizzo IP sorgente e destinazione ole porte del protocollo di trasporto (protezione dall’analisi del traffico); permettere alricevente di accertare l’identità del mittente dei dati (autenticazione del mittente); garantireche ogni pacchetto è prodotto dall’entità autenticata (autenticità) ; fornire strumenti perverificare se il traffico è stato alterato durante il tragitto (integrità); impedire ad una terzaparte ostile di catturare pacchetti del traffico legale e rinviarli al destinatario nel tentativo dialterarne le funzionalità (anti-replay)
52 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Il framework IPSec Il framework (ovvero struttura) IPSec è un insieme aperto diprotocolli, tecniche ed algoritmi. Lo standard infatti definisce solo le funzionalità chedevono essere realizzate, ma non i dettagli del modo in cui devono essere realizzate.
Gateway sistemi e reti vol3 – seconda edizione
IPsec prevededue modalità:
Transport mode,che fornisce sicurezzasolo al payload del pacchettoIP;
Tunnel mode,in cuiè messo in sicurezza l’interopacchetto IP.
Esistono due tipi di header ("intestazioni") per un pacchetto IPSec:
AH: Authentication Header. AH (obsoleto) verrà scelto se si desidera: autenticazione delmittente e del destinatario; controllo dell’integrità dei dati (riferito a tutti i campi nonvariabili del pacchetto IP); protezione dagli attacchi replay.
ESP: Encapsulating Security Payload. ESP verrà scelto se si desidera: autenticazione delmittente e del destinatario; controllo dell’integrità (solo su ciò che viene dopo l’headerESP); protezione dagli attacchi replay; criptazione dei dati.
(IKE (Internet Key Exchange), Negoziazione parametri. Gestione chiavi crittografiche. Autenticazione Entrambi i
protocolli, AH e ESP, possono essere implementati in una delle due modalità previste da IPsec)
53 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
I
AH Header. Il Protocol ID di AH è 51) ESP header . Il Protocol ID di ESP è 50
54 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
I metodi di autenticazione (http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-0203/autentic_windows/pagineWebProgetto/capitolo2.htm )
Durante la fase di inizializzazione di un tunnel IPSec le due entità coinvolte si autenticano l’unl’altro, per evitare che una terza parte ostile cerchi di iniziare un tunnel spacciandosi per un’entitàamica. L’autenticazione deve basarsi su almeno un dato che non attraversa mai la rete. Esistono tretipi di autenticazione:
Chiavi pre-condivise (pre-shared keys): le chiavi vengono distribuite out-ofband all’attodella configurazione
Chiave pubblica (Public key): l’autenticazione avviene crittografando con la chiave pubblicadel destinatario l’identificativo del mittente ed un nonce (numero pseudocasuale) (publickey encryption – descritto in letteratura Cisco come Encrypted Nonces)
Certificati digitali (RSA signatures): prevede l’utilizzo di certificati digitali e quindi di unaPKI (public Key Infrastructure) e di una CA (Certification Authority)
Distribuzione delle chiavi crittografiche Per essere applicati correttamente sia gli header AH che ESP richiedono la negoziazione di unachiave tra le due o più parti coinvolte nella comunicazione La negoziazione e la distribuzione dellechiavi può essere effettuata attraverso due modalità:
Distribuzione manuale delle chiavi
Distribuzione automatica delle chiavi Tramite protocollo IKE
55 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
56 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Privacy“Principi generali del trattamento di dati personali
Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 delRegolamento (UE) 2016/679, che qui si ricordano brevemente:
liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventualitrattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quantonecessario rispetto alle finalità del trattamento;
esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati cherisultino inesatti rispetto alle finalità del trattamento;
limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei datiper un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuatoil trattamento;
integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto deltrattamento.”
Garante della privacy: https://www.garanteprivacy.it/
Da maggio 2018 è applicato il nuovo Regolamento europeo in materia di trattamento dei datipersonali (Reg 679/2016, General Data Protection Regulation). Le novità maggiormente rilevantiriguardano gli adempimenti che dovranno essere posti in essere dalle organizzazioni (ad esempio ilrafforzamento degli obblighi di sicurezza e di valutazione del rischio, l'introduzione della figura delData Protection Officer, la previsione del principio di privacy by design e del principio diaccountability, il rafforzamento del diritto all'oblio, ecc.). Occorre creare un percorso diadeguamento in modo da affrontare la tematica in modo organico e completo e orientato alraggiungimento della compliance normativa in vista dell'entrata in vigore del Regolamento.
FONTE
http://www.trendmicro.it/aziende-di-grandi-dimensioni/gdpr.html
Focus in 3 domandeQuali sono le principali novità introdotte dal nuovo Regolamento Europeo in materia di data protection?Quali sono gli adempimenti che le aziende dovranno porre in essere per essere conformi al Regolamento Europeo in materia di data protection?Come dovranno essere impostati i progetti per adempiere al Regolamento europeo in materia di data protection?
57 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Standard 27018 e 27017 un riferimento puntuale in relazione alla tematica della sicurezza nel trattamento dei dati personali nell'ambito dei servizi di cloud pubblico.
Con l'applicazione del Regolamento europeo, che diventerà direttamente applicabile a partire dal 25 maggio2018, si modifica per le imprese lo scenario operativo, in particolar modo per coloro che faranno uso dinuove tecnologie, e saranno pertanto approfonditi gli aspetti rilevanti e le misure da adottare per garantire lacompliance alla nuova normativa europea.
In attesa dell'applicazione del Regolamento europeo, il Gruppo dei Garanti UE (WP 29) ha approvato tredocumenti con indicazioni e raccomandazioni su importanti novità introdotte dal Regolamento, cheimpatteranno notevolmente anche nell'ambito IoT e che verranno pertanto approfondite durante il Webinar.
Le linee guida hanno infatti offerto alcuni chiarimenti: sulla designazione del DPO (Data Protection Officer),quale figura che ha l'obiettivo di osservare, valutare e organizzare la gestione del trattamento di datipersonali (e dunque la loro protezione) all'interno di un'azienda, affinché questi siano trattati nel rispetto dellenormative privacy europee e nazionali; sul diritto alla portabilità dei dati, sottolineando il valore e l'importanzadella libertà di scelta dell'utente che potrà scegliere, ad esempio, di trasferire altrove i dati forniti ad unTitolare del trattamento; ed infine sulla valutazione d'impatto sulla protezione dei dati, prevista dall'art. 35 delRegolamento europeo, quale processo di valutazione preventiva dell'impatto sul trattamento dei datipersonali. La valutazione d'impatto infatti permetterà di valutare la necessità e proporzionalità deltrattamento, gestire i rischi per i diritti e le libertà delle persone fisiche che siano coinvolte in operazioni ditrattamento di dati personali, nonché garantire e dimostrare che le operazioni di trattamento siano conformialle disposizioni del Regolamento.
Focus in 3 domandeQuali sono le informazioni sensibili raccolte dai dispositivi intelligenti?
Come gestirle nel rispetto della privacy?
Quali sono le indicazioni provenienti dal Regolamento europeo sulla protezione dei dati personali?
Esempio - Google privacyhttps://policies.google.com/
1. Rispettare i nostri utenti. Rispettare la loro privacy.
2. Essere chiari in merito ai dati che raccogliamo e perché.
3. Non vendere mai a nessuno le informazioni personali dei nostri utenti.
4. Consentire alle persone di gestire facilmente la propria privacy.
5. Consentire alle persone di controllare, trasferire o eliminare i propri dati.
6. Integrare le tecnologie di sicurezza più efficaci nei nostri prodotti.
7. Essere da esempio per migliorare la sicurezza online per tutti.
58 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
“ Continuiamo a sviluppare nuove tecnologie di sicurezza che possono essere utilizzate da tutti.Condividiamo le nostre conoscenze, esperienze e i nostri strumenti in materia di sicurezza conpartner, organizzazioni e concorrenti di tutto il mondo perché la sicurezza su Internet richiede lacollaborazione di tutto il settore”
Caso reale Privacy violata - il sito Inps non funziona: esposti i dati privati di tanti cittadini
https://www.corriere.it/tecnologia/20_aprile_01/bonus-600-euro-sito-inps-non-funziona-spunta-luciano-v-chi-e-9eaaae98-7400-11ea-b181-d5820c4838fa.shtml
Un'ipotesi è che la causa dell'errore stia in una configurazione errata della CDN (*).
«Se è stato un attacco hacker ci sarà modo di verificarlo - aggiunge - certo è strano che provochi queste conseguenze», commentaal Corriere Gabriele Faggioli, presidente di Clusit, l’Associazione italiana per la sicurezza informatica. Una possibilità è chel’Istituto abbia sfruttato una Cdn proprio per proteggersi dall’attacco, andando però a creare il problema di privacy qui sopraspiegato. «Non ho nessun motivo per ritenere che non ci sia stato un attacco hacker - aggiunge - la mia prima valutazione è stataquella di un errore tecnico, ma certo potrebbe esserci stata una doppia problematica».
«Possibile un attacco, più probabile problema tecnico»Difficile, dunque, capire davvero cosa sia successo. Ci sarà tempo e modo. Quanto sia probabile che una conseguenza come quella di vedere i dati di un profilo altrui sia causata da un attacco hacker lo spiega Denis Valter Cassinerio, regional sales director Seur della società di sicurezza informatica Bitdefender: «Siamo abituati a non escludere nessuna potenziale pista, comprese quelle meno probabili. Tuttavia, sulla base di quanto abbiamo potuto constatare, ciò che è accaduto al sito Inps potrebbe essere causato da un problema di DNS piuttosto che da un attacco hacker. Un attacco di questo tipo infatti, ha di solito una motivazione - finanziaria, di reputazione o di attivismo- e questa situazione non sembra avere alle spalle nessuna spiegazione di questo tipo». Probabilmente un errore di configurazione, dunque, che potrebbe però essere stato causato dalla frettolosa creazione di uno scudo per far fronte a un attacco hacker? «Questa possibilità esiste, ma anche in questo caso non migliora l’accaduto. Tutti i siti web sono spesso sotto forte pressione, sia che si tratti di attacchi informatici o di crescita organica durante i periodi di maggior utilizzo da parte degli utenti. Per questo motivo i reparti Devops (dipartimenti dedicati allo sviluppo, le persone che pianificano le infrastrutture) devono trovare soluzioni in anticipo e fare piani di previsioni del traffico o trovare soluzioni flessibili per adattarsi ai picchi negli accessi. Se questi agiscono senza ponderare bene tutti i fattori quando si trovano di fronte a un problema, la situazione può precipitare con conseguenze negative», spiega ancora l’esperto di cybersicurezza. E conclude: «C’è la possibilità che si tratti di un problema di cache o di DNS. Questo non migliora la situazione. Quando si tratta di fughe di dati la negligenza è da considerare un nemico quasipeggiore degli attacchi informatici».
Il Garante della Privacy: «Gravissimo, subito accertamenti»Tantissime le proteste sull'accaduto da parte di cittadini, di partiti politici, enti e associazioni. In attesa di sapere effettivamente quale sia stato il problema sulla piattaforma, interviene anche il Garante della Privacy: «Siamo molto preoccupati per questo gravissimo data breach. Abbiamo immediatamente preso contatto con l'Inps e avvieremo i primi accertamenti per verificare se possaessersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l'Inps chiuda la falla e metta in sicurezza i dati»(*) Per Cdn si intende il Content Delivery Network, ovvero quella rete che permette di «distribuire» i contenuti all'utente finale. “In telecomunicazioni Content Delivery Network o Content Distribution Network (in sigla, CDN), "Rete per la consegna di contenuti" - chiamata anche Enterprise Content Delivery Network (in sigla, ECDN) - è un termine coniato sul finire degli anni novanta per descrivere un sistema di computer collegati in rete attraverso Internet, che collaborano in maniera trasparente, sotto forma di sistema distribuito, per distribuire contenuti (specialmente contenuti multimediali di grandi dimensioni in termini di banda, come l'IPTV) agli utenti finali ed erogare servizi di streaming audio e video.” https://it.wikipedia.org/wiki/Content_Delivery_Network https://assoprovider.it/cose-un-data-breach/
https://www.fabriziorocca.it/guide/cdn-perche-utile-per-sito/
59 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
L’inquinamento delle informazioni
L’informazione inquinata continua a porre enormi sfide. Quali sono gli effetti sulle democrazie,come si muovono le reti di troll e le possibili contromisure?
Cfr. CittadinazaDigitale: https://moodle.isisfacchinetti.it/mod/data/view.php?d=21&rid=789
Agenda Digitale : https://www.agendadigitale.eu/cultura-digitale/reti-di-troll-cosi-influenzano-di-nascosto-le-nostre-scelte-politiche-e-commerciali/ )
Certificati digitali - Agenzia per l'Italia digitale
https://www.agid.gov.it/it/piattaforme/firma-elettronica-qualificata/certificati
https://it.wikipedia.org/wiki/Agenzia_per_l%27Italia_digitale
60 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Esercitazioni sicurezza
SANS
ScenarioSANS Institute (SysAdmin , Audit , Network , Security, www.sans.org) è un sito di rilevanzamondiale che contiene numerose informazioni, condensate in blog, forum, news, documentidettagliati e aggiornati costantemente sui nuovi attacchi e sulla vulnerabilità. SANS è molto utileper identificare le minacce per la rete e trovare soluzioni adeguate per difendersi. In corsivo le noteaggiuntive.
Scopo di questa esercitazione è la navigazione e l’esplorazione di questo sito, identificando leminacce più recenti e fornendo informazioni su un attacco di rete. (Il lavoro deve essere consegnatocreando una “Presentazione” o uno “Slide Show” servendosi di un servizio online, ad esempioGoogle Drive).
SANS Casi studiohttps://www.sans.org/security-awareness-training/case-studies
1. Prima parte: esplorazione dei contenutiEsplorazione del sito di SANS.Accedere al sito e mostrare le risorse disponibili, elencandone tre.
Individuare la voce https://www.sans.org/tip-of-the-day e spegare di cosa si tratta
(I controlli elencati sul sito SANS sono la sintesi di un lavoro coinvolge i privati, il Dipartimento della Difesa ( DoD ) americano, il Center for Internet Security e altre istituzioni).
Selezionare un tip ed elencare due degli elementi contenuti (ad esempio https://www.sans.org/security-awareness-training/ouch-newsletter/2017/securing-todays-online-kids Securing Today's Online Kids “when your kids talk to you, put your own digital device down and look them in the eye.“ ; oppure un video: https://www.sans.org/security-awareness-training/video-month )
Relazione incidenti
Data incidente
Ente interessato
Effetto: vittime, materiale sottratto, impedimento servizio...
Modalità di attacco
protezione
materiale
https://www.sans.org/tip-of-the-day
https://www.reportec.it/2018/07/12/cryptomining-malware-cyberark/
61 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
https://www.sans.org/critical-
vulnerability-recaps
Meltdown
https://www.cve.mitre.org/cgi-bin/
cvenahttps:// www.hackthebox.eu/api/
invite/how/to/generatme.cgi?
name=2017-5753
https://en.wikipedia.org/wiki/
Meltdown_(security_vulnerability)
Strumenti di monitoraggio e attacco
Wireshark http://security.polito.it/~lioy/01nbe/wireshark_intro.pdf
(NOTA filter https://wiki.wireshark.org/DisplayFilters
ip.addr==192.168.0.1 — mostra tutto il traffico da e per 192.168.0.1
tcp.port==80 — Mostra tutto il traffico con la porta 80 come sorgente o destinazione
tcp.port==443— Mostra tutto il traffico https come sorgente o destinazione
ip.src==192.168.0.1 and ip.dst==10.100.1.1 — Mostra tutto il traffico che inizia da 192.168.0.1 ed ha comedestinazione 10.100.1.1
ftp — Mostra solo il traffico per il protocollo ftp
http — Mostra solo il traffico per il protocollo http
dns — Mostra solo il traffico per il protocollo dns
http.request.uri contains string — Mostra tutto il traffico http dove la url contiene la parola “string”
Show only SMTP (port 25) and ICMP traffic:
tcp.port eq 25 or icmp
Show only traffic in the LAN (192.168.x.x), between workstations and servers -- no Internet:
ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16
The "slice" feature is also useful to filter on the vendor identifier part (OUI) of the MAC address, seethe Ethernet page for details. Thus you may restrict the display to only packets from a specific devicemanufacturer. E.g. for DELL machines only:
eth.addr[0:3]==00:06:5B
62 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
It is also possible to search for characters appearing anywhere in a field or protocol by using the containsoperator. Match packets that contains the 3-byte sequence 0x81, 0x60, 0x03 anywhere in the UDP header orpayload:
udp contains 81:60:03
Match packets where SIP To-header contains the string "a1762" anywhere in the header:
sip.To contains "a1762"
Match HTTP requests where the last characters in the uri are the characters "gl=se":
http.request.uri matches "gl=se$"
Note: The $ character is a PCRE punctuation character that matches the end of a string, in this case the endof http.request.uri field.
Filter by a protocol ( e.g. SIP ) and filter out unwanted IPs:
ip.src != xxx.xxx.xxx.xxx && ip.dst != xxx.xxx.xxx.xxx && sip
[ Feel free to contribute more ]
Gotchas
Some filter fields match against multiple protocol fields. For example, "ip.addr" matches against boththe IP source and destination addresses in the IP header. The same is true for "tcp.port", "udp.port","eth.addr", and others. It's important to note that
ip.addr == 10.43.54.65
is equivalent to
ip.src == 10.43.54.65 or ip.dst == 10.43.54.65
This can be counterintuitive in some cases. Suppose we want to filter out any traffic to orfrom 10.43.54.65. We might try the following:
ip.addr != 10.43.54.65
which is equivalent to
ip.src != 10.43.54.65 or ip.dst != 10.43.54.65
63 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
SHODAN Shodan IOT https://www.shodan.io https://www.shodan.io/search?query=Server
%3A+IP+Webcam
https://dragonitesec.wordpress.com/2016/12/01/shodan-il-motore-di-ricerca-piu-pericoloso-
al-mondo/ Come usare shodan
PORT SCAN Port scanner https://hackertarget.com/nmap-online-port-scanner/
Il portscan più elementare consiste nell'inviare un pacchetto – costruito ad arte – ad ognuna delleporte del sistema informatico in analisi (computer, server web o server FTP) e attendereun'eventuale risposta. In questo modo sarà possibile scoprire quali siano le porte in ascolto, dallequali si otterrà una risposta, e quali quelle inutilizzate, dalle quali non si otterrà invece alcunarisposta. A questo punto, avendo una mappa completa dei possibili “punti di accesso”, si potràtentare un approccio più “risoluto” e si potrà provare ad accedere al sistema stesso.”
NMAP – ZENMAP“Nmap è un software libero distribuito con licenza GNU GPL da Insecure.org creato per effettuareport scanning, cioè mirato all'individuazione di porte aperte su un computer bersaglio o anche surange di indirizzi IP, in modo da determinare quali servizi di rete siano disponibili” [Wikipedia]
Utilizzare un software per la scansione degli indirizzi IP come, ad esempio, NMAP (http:// nmap.org/ download.html).
Dopo aver avviato NMAP inseriamo l’indirizzo di rete, ad esempio 192.168.1.0/24, ed avviamo la scansione. Otterremo una lista delle macchine connesse in rete, compreso il Raspberry, identificate dall’indirizzo IP e MAC (vedi fig.x1). Per i comandi nmap : https://nmap.org/man/it/man-briefoptions.html
Possiamo usare, per comodità, Zenmap, un visualizzatore dei risultati di NMAP in formato testuale e grafico (https://nmap.org/zenmap/ ). Zenmap traduce l’opzione scelta nel comando NMAP relativo (vedi fig,. N1)Sacnning: https://nmap.org/book/zenmap-scanning.html
Per esercitazioni si veda http://www.fastweb.it/internet/come-effettuare-il-port-scanning-e-come-difendersi/
NOTA Per installare NMAP In Linux -> “Terminale”: sudo apt-get update && sudo apt-get upgrade && sudo apt-get install nmapsudo nmap 192.168.1.0/ 24
64 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
fig. n1 : il comando Ping Scan è tgradotto in “nmap -sn” “-sn (No port scan) This option tells Nmap not to do a port scan after hostdiscovery, and only print out the available hosts that responded to the host discovery probes”. L’individuazione di Raspberry PI (192.168.1.3, B8:27:EB:81:31:3A ) -
- La stringa “nmap -PN 'hostremoto'” permette di scansionare l'intera submask cui si èconnessi;
“nmap -PN xxx.xxx.xxx.yyy-zzz” si effettuerà il port scanning dei dispositivi connessi allarete il cui indirizzo IP varia da “yyy” a “zzz”;
per conoscere i servizi attivi in una specifica zona della rete si può utilizzare il comando“nmap -sP xxx.xxx.xxx.yyy-zzz”;
la stringa “nmap -p 'numeroporta' 'indirizzoIP'” permette invece di analizzare lo status diuna specifica porta di uno dei nodi della rete. “
Come difendersi dal port scanningLa tecnica – e la tecnologia – più efficacie per difendersi da attacchi portati da un’attività di portscanning consiste nel dotarsi di un firewall– hardware o software – con il quale proteggere gliaccessi alla propria rete. Questo strumento, infatti, permette di controllare tutto il traffico iningresso e in uscita dal sistema, agendo di fatto da filtro che, in base alle regole impostate,permette o meno il transito ai pacchetti dati in corrispondenza delle varie porte di
65 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
comunicazione . A seconda della configurazione del firewall, si potrà impedire il passaggio aqualunque pacchetto in arrivo dall'esterno (ad eccezione di quelli transitanti attraverso la porta 80,che consente la navigazione nel web) o, a seconda delle esigenze, dare la possibilità a diversi servizied applicativi presenti sul sistema di “dialogare” con l'esterno.“
Approfondimento : Problemi realitivi al Port Scanning https://www.fastweb.it/internet/come-effettuare-il-port-scanning-e-come-difendersi/
Esempio MICROPROCESSORI e SoC
- The SPU was designed to be segregated from your CPU and all parts of your device and is totally
self-contained within the Snapdragon mobile processor. One of its main roles is to generate andutilize unique cryptographic digital keys that aim to help protect your data by encrypting the filesyou create, optimized for a superior level of protection. So even if malware penetrates your deviceto a point where it can access the keys processed by the main CPU, access to any of the keys nowstored and managed by the SPU can be prevented.
https://www.qualcomm.com/news/onq/2018/03/08/how-can-snapdragon-845-guard-your-smartphone-data-vault
- M-Shield™ Mobile Security Technology:
http://www.ti.com/pdfs/wtbu/ti_mshield_whitepaper.pdf
Buffer overflow e altro
“A Buffer Overflow is an anomaly where a program, while writing data to a buffer, overruns thebuffer’s boundary and overwrites adjacent memory locations”
INDICE: 2019 CWE Top 25 Most Dangerous Software Errors https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html
http://cwe.mitre.org/top25/#CWE-863 https://cwe.mitre.org/data/definitions/121.html - esempi di input non controllati http://cwe.mitre.org/data/definitions/120.html#Demonstrative%20Examples
CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')http://cwe.mitre.org/data/definitions/78.html#Demonstrative%20Examples
CWE-829 (HTML) : Inclusion of Functionality from Untrusted Control Sphere http://cwe.mitre.org/data/definitions/829.html#Demonstrative%20Examples
mproper input validation http://cwe.mitre.org/data/definitions/20.html
Example 1 (https://cwe.mitre.org/data/definitions/120.html#Demonstrative%20Examples ) The following code asks the user to enter their last name and then attempts to store the value entered in the last_name array.
(bad code) Example Language: C
66 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
char last_name[20];printf ("Enter your last name: ");scanf ("%s", last_name);
The problem with the code above is that it does not restrict or limit the size of the name entered by the user. If the user enters "Very_very_long_last_name" which is 24 characters long, then a buffer overflow will occur since the array can only hold 20 characters total.
Example 2 The following code attempts to create a local copy of a buffer to perform some manipulations to the data.
(bad code) Example Language: C
void manipulate_string(char* string){char buf[24];strcpy(buf, string);...}
However, the programmer does not ensure that the size of the data pointed to by string will fit in thelocal buffer and blindly copies the data with the potentially dangerous strcpy() function. This may result in a buffer overflow condition if an attacker can influence the contents of the string parameter.
Example 3 The excerpt below calls the gets() function in C, which is inherently unsafe.
(bad code) Example Language: C
char buf[24];printf("Please enter your name and press <Enter>\n");gets(buf);...}
However, the programmer uses the function gets() which is inherently unsafe because it blindly copies all input from STDIN to the buffer without restricting how much is copied. This allows the user to provide a string that is larger than the buffer size, resulting in an overflow condition.
CVE120.c - (CodeBlocks http://www.codeblocks.org/downloads/26#windows )#include <stdio.h>#include <stdlib.h>
/**PROBLEMA CVE 120- il software mette a disposizione un buffer di DIM fissa e, di conseguenza, l'utente non puòsforare tale dimensione pena un failure.*/
/**SOLUZIONI1 - utilizzare un linguaggio che mette a diposizione oggetti che gestiscono da loro le stringhe allocando dinamicamente più memoria laddove saia necessaria (java, C++, JavaScript, PHP...)2 - utilizzare un framework appropriato per C che mette a disposizione funzioni per ovviare a questo problema3 - controllare l'input prima di salvarlo nel buffer
67 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
4 - utilizzare un IDE che controlla tale problema in fase di compilazione e, nel caso, solleva un warning o errore di compilazione (Visual Studio)*/
int main(){ char last_name[20]; printf ("Enter your last name: "); scanf ("%s", last_name); return 0;}
stack overflowhttps://cwe.mitre.org/data/definitions/121.html
https://medium.com/@_ncpd/an-introduction-to-stack-buffer-overflows-d555cc109131
Example Language: C
#define BUFSIZE 256int main(int argc, char **argv) {char buf[BUFSIZE];strcpy(buf, argv[1]);}
The buffer size is fixed, but there is no guarantee the string in argv[1] will not exceed this size and cause an overflow.
Example 2 This example takes an IP address from a user, verifies that it is well formed and then looks up the hostname and copies it into a buffer.
(bad code) Example Language: C
void host_lookup(char *user_supplied_addr){struct hostent *hp;in_addr_t *addr;char hostname[64];in_addr_t inet_addr(const char *cp);
/*routine that ensures user_supplied_addr is in the right format for conversion */
validate_addr_form(user_supplied_addr);addr = inet_addr(user_supplied_addr);hp = gethostbyaddr( addr, sizeof(struct in_addr), AF_INET);strcpy(hostname, hp->h_name);}
68 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
This function allocates a buffer of 64 bytes to store the hostname, however there is no guarantee that the hostname will not be larger than 64 bytes. If an attacker specifies an address which resolves to a very large hostname, then we may overwrite sensitive data oreven relinquish control flow to the attacker.
Note that this example also contains an unchecked return value (CWE-252) that can lead to a NULL pointer dereference (CWE-476).
CVE121.c - (CodeBlocks http://www.codeblocks.org/downloads/26#windows )#include <stdio.h>#include <stdlib.h>
/**PROBLEMA - richiamando per infinite volte la stessa funzione si cade in un errore di stack-overflow,quando l'indirizzo della funzione viene salvato troppe volte andando a riempire lo stack. Questo errore, di solito,non è generato da utenti malevoli ma da una nostra cattiva programmazione.*/
/**SOLUZIONI1 - evitare bug di programmazione*/
/**PROBLEMA - un errore di stack overflow può essere sollevato anche quando si vanno a inserire più valori di quello concessi.*/
/**SOLUZIONI1 - controllare l'input utente2 - utilizzare un linguaggio che mette a dispozione oggetti che gestiscono da soli tale errore*/
void ciao(){ printf("ciao\n"); ciao();}
int main(){ ciao();}
JAVA http://cwe.mitre.org/data/definitions/78.html#Demonstrative%20Examples The example below reads the name of a shell script to execute from the system properties. It is subject to the second variant of OS command injection.
(bad code) Example Language: Java
String script = System.getProperty("SCRIPTNAME");if (script != null)System.exec(script);
If an attacker has control over this property, then they could modify the property to point to a dangerous program.
69 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
PHP http://cwe.mitre.org/data/definitions/20.htmlThe following example shows a PHP application in which the programmer attempts to display a user's birthday and homepage.
(bad code) Example Language: PHP
$birthday = $_GET['birthday'];$homepage = $_GET['homepage'];echo "Birthday: $birthday<br>Homepage: <a href=$homepage>click here</a>"
The programmer intended for $birthday to be in a date format and $homepage to be a valid URL. However, since the values are derived from an HTTP request, if an attacker can trick a victim into clicking a crafted URL with <script> tags providing the values for birthday and / or homepage, then the script will run on the client's browser when the web server echoes the content. Notice that even if the programmer were to defend the $birthday variable by restricting input to integers and dashes, it would still be possible for an attacker to provide a string of the form:
(attack code) 2009-01-09--If this data were used in a SQL statement, it would treat the remainder of the statement as a comment. The comment could disable other security-related logic in the statement. In this case, encoding combined with input validation would be a more useful protection mechanism.
Furthermore, an XSS (CWE-79) attack or SQL injection (CWE-89 e https://www.w3schools.com/php/php_mysql_prepared_statements.asp ) are just a few of the potential consequences when input validation is not used. Depending on the context of thecode, CRLF Injection (CWE-93), Argument Injection (CWE-88), or Command Injection (CWE-77) may also be possible.
PHP Form validation
http://www.w3schools.com/php/php_form_validation.asp
Sicurezza del FORM
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
1. Per evitare Cross-site scripting (XSS) :
“The first thing we will do is to pass all variables through PHP's htmlspecialchars() function.
When we use the htmlspecialchars() function; then if a user tries to submit the following in a text field:
<script>location.href('http://www.hacked.com')</script>
- this would not be executed, because it would be saved as HTML escaped code, like this:
<script>location.href('http://www.hacked.com')</script>”
2. We will also do two more things when the user submits the form:
Strip unnecessary characters (extra space, tab, newline) from the user input data (with the PHPtrim() function)
Remove backslashes (\) from the user input data (with the PHP stripslashes() function)
70 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
function test_input($data) { $data = trim($data); //Remove characters : \0" , "\t" , "\n" , "\x0B" , "\r" - " " $data = stripslashes($data); // removes backslashes $data = htmlspecialchars($data); //Convert "<" and ">" to HTML entities return $data;}
Codice malevolo in Javascript
Javascript eval() . eval()è una funzione pericolosa, che esegue il codice con i privilegi
dell'amministratore della pagina. Se si esegue eval() con una stringa che potrebbe essere di un
malintenzionato, si può riprodurre del codice dannoso sul computerhttp://www.w3schools.com/jsref/jsref_eval.asp
ex
<!DOCTYPE html><html><body>
<p>Click the button to evaluate/execute JavaScript code/expressions.</p>
<button onclick="myFunction()">Try it</button>
<p id="demo"></p><p id="demo1"></p>
<script> function hex2a(hexx) { var hex = hexx.toString();//force conversion var str = ''; for (var i = 0; i < hex.length; i += 2) str += String.fromCharCode(parseInt(hex.substr(i, 2), 16)); return str;}function myFunction() { var x = 10; var y = 20; var a = eval("x * y") + "<br>"; var b = eval("2 + 2") + "<br>"; var c = eval("x + 17") + "<br>"; eval("var z = 'Hello from eval!';"); var res = z+ a + b + c; document.getElementById("demo").innerHTML = res; var str = "if ( a ) { 1+1; } else { 1+2; }";
var a = true;var b = eval(str); // returns 2alert("b is : " + b);a = false;b = eval(str); // returns 3alert("b is : " + b);
document.getElementById("demo1").innerHTML = (hex2a('414243'));
}
</script>
71 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
</body></html>
PHP Example:
$myvar = "varname";
$x = $_GET['arg'];
eval("\$myvar = \$x;");
Heartbleed
Pen Testhttps://www.cisecurity.org/controls/ https://pen-testing.sans.org/bloghttps://pen-testing.sans.org/blog/2018/05/22/sans-cheat-sheet-python-3 Nell’esempio si è scelto di dedicarsi al “Penetration Test” il cui scopo è simulare le azioni di un attaccante verso un obiettivo, per studiare la forza delle difese di un'organizzazione considerando le tecnologie, i processi e le persone.E’ interessante notare come gli aggressori spesso sfruttino il divario di tempo che intercorre tral'annuncio di una vulnerabilità, la disponibilità di un aggiornamento (patch) del fornitore el’effettiva installazione su ogni macchina, oppure la mancata applicazione delle politiche destinate alimitare le azioni umane rischiose e, soprattutto, la difficoltà di comprendere l’importanza diun'interazione tra più strumenti di difesa. Il test di attacco fornisce un approccio globale al fine dimigliorare la prontezza organizzativa e controllare i livelli di sicurezza presenti. Il test fornisce unprezioso contributo in termini di intuizioni circa l'esistenza di vulnerabilità e l'efficacia delle difesee dei controlli già previsti o da mettere in atto.
Il test deve prevedere una serie di requisiti, tra cui:
Attuare regolari test di penetrazione esterna al perimetro della rete (ad esempiosfruttando Internet o Wi-Fi) ed interna alla rete per identificare le vulnerabilità e persimulare gli attacchi
72 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Pianificare test di penetrazione misti. Molti attacchi APT sfruttano la rete o l’web, ma anche si appoggiano a tecniche di social engineering
Utilizzare strumenti di test e di scansione. I risultati delle valutazioni di scansione di vulnerabilità dovrebbero essere usati come punto di partenza per orientare e concentrare gli sforzi.
Simulare un ambiente di penetrazione verso elementi che non sono in genere testati in un tipico ambiente di produzione, come ad esempio gli attacchi contro il controllo di supervisione e l’ acquisizione dati
Devono esssere messi in atto (fig. 33) una serie di passi:
Fase 1 : il “penetration tester” esegue prove di penetrazione dei sistemi di produzione
Fase 2 : vengono anche usati tool specifici per eseguire prove di penetrazione
Fase 3 : le risposte fornite dai tool informano il tester tester delle vulnerabilità scoperte
Fase 4 : il penetration tester esegue test di penetrazione più approfonditi con i sistemi di laboratorio
Fase 5 : il valutore (auditor) controlla il lavoro svolto con strumenti automatizzati
Passo 6 : il valutore (auditor) controlla il lavoro svolto dai penetration tester
Passo 7 : il penetration tester genera report e statistiche sulle vulnerabilità che sono state scoperte
2. Seconda parte: indentificazione delle minacce recentiIndividuare nel sito l’Archivio Newsletter ed elencare tre dei più recenti attacchi
https://www.sans.org/security-awareness-training/ouch-newsletter
in particolare:
https://www.sans.org/security-awareness-training/ouch-newsletter/2018/creating-cybersecure-home
3. Terza parte: Dettagliare uno specifico attaccoCompilare il modulo sottostante , sulla base di risultati
Nome attacco
Tipo attacco
Data attacco
Cos’è e come opera
73 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Organizzazioneinteressata
Come proteggersi
Riferimenti e link
Per compilare il modulo si suggerisce lo studio di due attacchi tra quelli mostrati nell’archivio del sito (fig 44).A titolo di esempio se ne propongono due.Il primo riguarda un attacco DDoS a PlayStation Network e Xbox Live: “Xbox Live, PlayStation Network Target of DDoS Attacks (December 25, 28, & 29 2014)Last week, users found they were unable to log into the PlayStation Network and Xbox Live; Sony says the problemswere caused by distributed denial-of-service (DDoS) attacks. The trouble began on the evening of December 24 As ofSunday, December 28, the PlayStation network is back online. The FBI is reportedly investigating the attacks.-http://www.computerworld.com/article/2863446/sony-says-playstation-network-is-back-online-now-really.html
Il secondo si riferisce a un “misterioso” malware che ha attaccato più di 100.000 siti basati su WordPress che avevanoistallato un plugin dato gratuitamente come premio, e non facilmente aggiornabile (lo sitrova in “Volume XVI - Issue#99”, “WordPress Sites Infected with Malware”, http://www.sans.org/newsletters/newsbites/xvi/99#301 ):More than 100,000 websites running on WordPress content management system have been found to be infected withmalware that attacks the devices of site visitors. Google has blacklisted more than 11,000 domains. Reports suggest thatthe attackers exploited a vulnerability in the Slider Revolution Premium plug-in, which the company has known aboutsince September 2014.
E’ interessante notare come il codice malevolo, inserito nel file loader.php di WP, fa sì che le pagine si colleghino a un sito pirata. Il codice viene offuscato, presentando il codice ASCII esadecimale e, viene mandato in esecuzione dalla funzione JavaScript “eval” (qui ne viene mostrato solo un frammento):eval(decodeURIComponent ("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%6….”che corrisponde a:function(){ //var ua = navigator.userAgent.toLowerCase(); //if (ua.indexOf('chrome') != -1) return; var head=document.getElementsByTagName('head')[0];…}
Nota: Per avere un’idea della complessità di un Pen Test si può far riferimento alle sfide che Sans lancia ogni anno e che riguardano il mondo della sicurezza: http://pen-testing.sans.org/holiday-challenge/2014 .A questo link si trovano alcune possibili soluzioni alla sfida del 2014: http://jordan-wright.github.io/blog/2015/01/05/sans-holiday-challenge-2014-writeup/
Esercizi Ticket
Gli esercizi sono realizzati sottoforma di ticket che arrivano a Help Desk aziendale
74 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Ticket 1ID ticket: S_NET/1234Tipologia: problem solvingData Apertura: 02/02/2015 08:45:13Stato: ClosedImpatto: Single UserUrgenza: HighTarget Date: 02/02/2015 12:45:13Nome utente: Paolo TralcioIndirizzo: Milano, Viale dei Glicini,16Azienda: MPTec Italia SpaTelefono: 02xxxxxxxxe-mail: [email protected]: S. PergolaGruppo: HD2 Sec-NetAsset: PC Windows | B504300
Descrizione del Problema: improvvisamente ho notato che si apre il lettore cd del mio PC senza che io abbia toccato nulla. Inoltre il mouse si muova da solo, come per magia, senza che io lo tocchi. Non so cosa fare.
Aggiornamenti:02/02/2015 09:58:26 | M. Verdi| contattato utente, eseguito primo troubleshooting, possibile problema di sicurezza. Inoltrato al gruppo competente02/02/2015 10:05:23 | S. Pergola | in lavorazione
Soluzione del Problema:02/02/2015 10:35:51 | S. Pergola | individuato problema> Trojan rilevato. Eseguito immediatamente il comando netstat sotto prompt di DOS. Trovato l'ip partendo dal numero di porta sapendo che i trojan piu famosi hanno delle porte ben stabilite (netbus 12345 subseven 1245) e che in ogni caso la maggior parte dei trojan usano porte con numeri alti Ricordate lo stato della connessione > "ESTABILISHED" perche ovviamente il computer in remoto sara collegato al nostro.in nuova policy propagata nottetempo da server EPO. Modificata policy, eseguito forcing dell’update, problema risolto su tutti i client. Si chiude intervento.Storico Ticket: 02/02/2015 08:58:03 | M. Verdi | cambio stato da “open” a “in lavorazione”02/02/2015 09:58:26 | M. Verdi | inoltro da “HD 1 livello” a “HD Networking”02/02/2015 09:58:26 | M. Verdi | cambio assegnatario da “M. Verdi” a “none”02/02/2015 09:58:26 | S. Pergola| cambio assegnatario da “none” a “S. Bianchi”02/02/2015 10:35:51 | S. Pergola| cambio stato da “in lavorazione” a “Closed” SLA:achieved
Ticket 2ID ticket: S_NET/1236Tipologia: problem solvingData Apertura: 02/02/2015 08:45:13Stato: ClosedImpatto: Single UserUrgenza: HighTarget Date: 02/02/2015 12:45:13Nome utente: Paolo TralcioIndirizzo: Milano, Viale dei Glicini,16Azienda: MPTec Italia SpaTelefono: 02xxxxxxxxe-mail: [email protected]
75 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Operatore: S. PergolaGruppo: HD2 Sec-NetAsset: PC Windows | B504300
Descrizione del Problema: Da qualche giorno avevo notato un insolito volume di traffico in uscita dalla rete specialmente quando il server
Windows era in stand-by o non necessariamente in fase di upload. Inoltre mi ero accorto di un incremento dell'attività dei dischi
Aggiornamenti:02/02/2015 09:58:26 | M. Verdi| contattato utente, eseguito primo troubleshooting, possibile problema di sicurezza. Inoltrato al gruppo competente02/02/2015 10:05:23 | S. Pergola | in lavorazione
Soluzione del Problema:02/02/2015 10:35:51 | S. Pergola | individuato problema> è possibile che il computer sia stato compromesso. Potrebbe essere utilizzato
per spedire spam o il traffico generato da un worm che cerca di replicarsi spedendo copie di se stesso.Presenza di file sospetti nelle directory root di un drive qualunque. Dopo aver attaccato un sistema, molti Hacker eseguono un controllo per cercare ogni documento interessante o file contenente password o log-in per conti correnti bancari o sistemi di pagamento telematici come PayPal.
in nuova policy propagata nottetempo da server EPO. Modificata policy, eseguito forcing dell’update, problema risolto su tutti i client. Si chiude intervento.Storico Ticket: 02/02/2015 08:58:03 | M. Verdi | cambio stato da “open” a “in lavorazione”02/02/2015 09:58:26 | M. Verdi | inoltro da “HD 1 livello” a “HD Networking”02/02/2015 09:58:26 | M. Verdi | cambio assegnatario da “M. Verdi” a “none”02/02/2015 09:58:26 | S. Pergola| cambio assegnatario da “none” a “S. Bianchi”02/02/2015 10:35:51 | S. Pergola| cambio stato da “in lavorazione” a “Closed” SLA:achieved
Ticket 3ID ticket: S_NET/1237Tipologia: problem solvingData Apertura: 02/02/2015 08:45:13Stato: ClosedImpatto: Single UserUrgenza: HighTarget Date: 02/02/2015 12:45:13Nome utente: Paolo TralcioIndirizzo: Milano, Viale dei Glicini,16Azienda: MPTec Italia SpaTelefono: 02xxxxxxxxe-mail: [email protected]: S. PergolaGruppo: HD2 Sec-NetAsset: PC Linux | B504300
Descrizione del Problema: Rilevazione di traffico elevato in ingresso proveniente da un singolo indirizzo bloccato dal personal firewall. Server di posta Linux ha avuto un incremento nell'attività dei dischi. Anche l'antivirus istallato sul server aveva iniziato a riportare rilevamenti di Backdoor o Trojan anche se non si era fatto niente fuori dal comune. file sospetti nelle directory root e nella cartella tmp
Aggiornamenti:02/02/2015 09:58:26 | M. Verdi| contattato utente, eseguito primo troubleshooting, possibile problema di sicurezza. Inoltrato al gruppo competente
76 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
02/02/2015 10:05:23 | S. Pergola | in lavorazione
Soluzione del Problema:02/02/2015 10:35:51 | S. Pergola | individuato problema> Dopo aver localizzato un obiettivo ( ad esempio un IP appartenente ad una compagnia o ad un gruppo di home user con collegamento via cavo) gli hacker lanciano normalmente dei programmi per testare la vulnerabilità e provano ad utilizzare vari exploit per entrare nel sistema. Se sista utilizzando un firewall e si nota un insolito numero elevato di pacchetti provenienti dallo stesso indirizzo, questo è un chiaro indizio che la macchina è sotto attacco. Il firewall si sta accorgendo di questi attacchi e forse il pericolo è scongiurato. Comunque, a seconda di quanti servizi si espongono ad Internet, questi potrebbe fallire nel proteggere da un attacco diretto ad un servizio reso disponibile a tutti. In tal caso la soluzione è bloccare temporaneamente l'IP fino a che i tentativi di connessione cessano e creare una regola sull'indirizzo "incriminato".
Similmente alcuni worm cercano nel disco file contenenti indirizzi di posta elettronica da utilizzare per propagarsi. Una maggiore attività da parte dei dischi anche quando il sistema è in stand-by congiuntamente a file con nomi sospetti in cartelle comuni, potrebbe essere l'indicazione di un attacco o di una infezione da parte di un codice malevolo.
Sebbene gli attacchi hacker possano essere complessi ed innovativi, molti si basano su trojan noti o backdoor, per avere pieno accesso ad un sistema compromesso. Se l'antivirus installato si dovesse accorgere e riportare la presenza di un malware, questa potrebbe essere una chiara indicazione che il sistema può essere accessibile dall'esterno.
Soluzione in nuova policy propagata nottetempo da server EPO. Modificata policy, eseguito forcing dell’update, problema risolto su tutti i client. Si chiude intervento.Storico Ticket: 02/02/2015 08:58:03 | M. Verdi | cambio stato da “open” a “in lavorazione”02/02/2015 09:58:26 | M. Verdi | inoltro da “HD 1 livello” a “HD Networking”02/02/2015 09:58:26 | M. Verdi | cambio assegnatario da “M. Verdi” a “none”02/02/2015 09:58:26 | S. Pergola| cambio assegnatario da “none” a “S. Bianchi”02/02/2015 10:35:51 | S. Pergola| cambio stato da “in lavorazione” a “Closed” SLA:achieved
Ticket 4ID ticket: S_NET/1237Tipologia: problem solvingData Apertura: 02/02/2015 08:45:13Stato: ClosedImpatto: Single UserUrgenza: HighTarget Date: 02/02/2015 12:45:13Nome utente: Paolo TralcioIndirizzo: Milano, Viale dei Glicini,16Azienda: MPTec Italia SpaTelefono: 02xxxxxxxxe-mail: [email protected]: S. PergolaGruppo: HD2 Sec-NetAsset: PC Linux | B504300
Descrizione del Problema: notato un incremento dell'attività dei dischi e la presenza di file sospetti nelle directory roote nella cartella tmpFile con nomi sospetti nella cartella /tmp. Molti exploit nel mondo Unix si basano sulla creazione di file temporanei nella cartella /tmp standard che non sono normalmente cancellati dopo l'attacco del sistema. Lo stesso dicasi per alcuni worm. Questi si ricopiano nella cartella /tmp e la utilizzano come home.
Cercando trovai file Binari di sistema modificati come "log-in", "Telnet", "ftp", "finger" o daemon più complessi, "sshd", "ftpd" e simili.
77 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Mi accorsi della Presenza di nuove USER-ID. Presenza di Backdoor.
Aggiornamenti:02/02/2015 09:58:26 | M. Verdi| contattato utente, eseguito primo troubleshooting, possibile problema di sicurezza. Inoltrato al gruppo competente02/02/2015 10:05:23 | S. Pergola | in lavorazione
Soluzione del Problema:02/02/2015 10:35:51 | S. Pergola | individuato problema> File con nomi sospetti nella cartella /tmp. Molti exploit nel mondo Unix si basano sulla creazione di file temporanei nella cartella /tmp standard che non sono normalmente cancellati dopo l'attacco del sistema. Lo stesso dicasi per alcuni worm. Questi si ricopiano nella cartella /tmp e la utilizzano come home.
Dopo essere entrati in un sistema, l'hacker di solito tenta di assicurarsi un sicuro accesso creando una backdoor in uno dei daemon con accesso diretto da internet, o dalla modifica di utility standard di sistema che sono utilizzate per connettersi ad altri sistemi. I binari modificati sono solitamente parte di un rootkit e generalmente sono nascosti ad un controllo superficiale. In ogni modo, è buona norma mantenere un database di tutto il software installato e verificarne l'integrità in modalità off-line periodicamente.
Alcune volte gli attacchi hacker potrebbero aggiungere un nuovo user in modo da loggarsi in remoto in un momento successivo. Bisogna cercare eventuali username sospetti nel file delle password e controllare ogni nuovo account che si dovesse aggiungere, specialmente in un sistema multi-user.
Aprire una backdoor in un sistema Unix a volte consiste nell'aggiungere due righe di script, ciò si ottiene modificando così /etc/services come /etc/ined.conf.. Bisogna controllare attentamente questi due file per ogni eventuale modifica che potrebbe indicarne una backdoor collegata ad una porta inutilizzata sospetta.
Soluzione in nuova policy propagata nottetempo da server EPO. Modificata policy, eseguito forcing dell’update, problema risolto su tutti i client. Si chiude intervento.Storico Ticket: 02/02/2015 08:58:03 | M. Verdi | cambio stato da “open” a “in lavorazione”02/02/2015 09:58:26 | M. Verdi | inoltro da “HD 1 livello” a “HD Networking”02/02/2015 09:58:26 | M. Verdi | cambio assegnatario da “M. Verdi” a “none”02/02/2015 09:58:26 | S. Pergola| cambio assegnatario da “none” a “S. Bianchi”02/02/2015 10:35:51 | S. Pergola| cambio stato da “in lavorazione” a “Closed” SLA:achieved
78 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
SFIDE
https://www.vulnhub.comhttps://hacktips.it/ Didatticamente interessante!https://hacktips.it/link-utili/lista-sfide-laboratori-ctf-sicurezza-informatica
https://hacktips.it/link-utili/lista-sfide-laboratori-ctf-sicurezza-informatica/
https://sourceforge.net/projects/lampsecurity/ “LAMPSecurity training is designed to be a series of
vulnerable virtual machine images along with complementary documentation designed to teachlinux,apache,php,mysql security. “
https://ctf.leomeccanica.it/registration
http://www.rprustagi.com/workshops/bites/bmsce/2018-09-27-Handout-BMSCE.pdf
Vulnab - MACCHINE VIRTUALI DA INSTALLARE in VIRTUAL BOX
https://www.vulnhub.com/
Hackthebox
view-source: https://www.hackthebox.eu/
79 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
( https://www.hackthebox.eu/api/invite/how/to/generate
<script defer src="/js/inviteapi.min.js"></script> <script defer src="https://www.hackthebox.eu/js/calm.js"></script> <script type="text/javascript">window.NREUM||(NREUM={});NREUM.info={"beacon":"bam.nr-data.net","licenseKey":"d74267d991","applicationID":"105353789","transactionName":"YABVMEFYX0NXVEwLW1lKdgdHUF5eGXZIEmh\/EUMUb3peXkJFVw5YUhdEOHpXR1lCUks+fVkTXhBWel5eQkVXDlhSF3cNXV1USA==","queueTime":0,"applicationTime":104,"atts":"TEdWRglCTE0=","errorBeacon":"bam.nr-data.net","agent":""}</script></body> </html> …..
80 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
81 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Va beqre gb trarengr gur vaivgr pbqr, znxr n CBFG erdhrfg gb /ncv/vaivgr/trarengr http://md5decrypt.net/en/Rot13/#results
in order to generate the invite code, make a post request to /api/invite/generate
(*)Rot13 or Rot-13 (short for rotate 13) Il ROT13 (rotate by 13 places), a volte scritto come ROT-13 e noto in italiano come eccesso 13, è un semplice cifrario monoalfabetico. Il ROT13 è una variante del cifrariodi Cesare ma con chiave 13: ogni lettera è sostituita con quella posta 13 posizioni più avanti nell'alfabeto. La scelta della chiave non è casuale perché è la metà del numero di lettere dell'alfabeto internazionale, 26: in questo modo si può utilizzare lo stesso algoritmo sia per la cifratura che per la decifratura . viene ora impiegato per indicare che il testo offuscato contiene "soluzioni" o "suggerimenti" che il lettore potrebbe voler non sapere subito (ad esempio la risposta alla domanda, o un commento sul finale di un film che i lettori non necessariamente hanno già visto). .https://it.wikipedia.org/wiki/ROT13
82 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
<!DOCTYPE html><html><body><form action="https://www.hackthebox.eu/api/invite/how/to/generate" method="post"> <input type="text" /> <input type="submit" /></form></body></html>
83 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
(/api/invite/generate)
Json ??????
GINHJ-HVOPH-HSDGZ-ATAQL-JYZLF
Challenge 1 – SSH con Wireshark
Obiettivo - Usare Wireshark per fiutare (sniffing) i pacchetti che vengono inviati dal vostroterminale a Raspberry Pi, assicurandovi che i dati siano crittografati e non interpretabili daterzi.
NOTA In ambiente Windows la cattura dei dati non è fatta da Wireshark, ma della libreria Winpcap. Il traffico
rilevato in linea può essere salvato in un file con estensione .pcap, un formato compatibile con altre applicazioni(ad esempio WinDump) in grado di analizzare i dati offline (dalla versione 1.8 di Wireshark, il formato predefinito
è PcapNG). (Per scaricare gratuitamente file di tipo pcap, appoggiarsi a siti tipo: pcapanalysis.com )
• Passo 1 – Individuare il sistema in rete
Il primo passo è individuare l’indirizzo IP di Rapberry Pi presente nella vostra rete lolcale everificare se ha la porta 22 (SSH - Secure SHell) aperta e disponibile. Il consiglio è quello diutilizzare Zenmap anche per verificare la topologia della rete.
NOTA (cfr. http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-it-4/ch-ssh.html ) SSH™ (Secure SHell) è un
protocollo che facilita i collegamenti sicuri tra due sistemi, usando un'architettura del tipo client/serverpermettendo agli utenti di registrarsi in sistemi host server, in modo remoto. A differenza di altri protocolli remoti
di comunicazione, come FTP o Telnet, SSH cripta la sessione di login, impedendo alle persone non autorizzate diottenere le password in chiaro. SSH è stato progettato per sostituire applicazioni precedenti, meno sicure utilizzate
per l'accesso a sistemi remoti come telnet o rsh.
Il protocollo SSH fornisce le seguenti misure di protezione:
Dopo una connessione iniziale, il client verifica che il collegamento avvenga con lo stesso server, al quale ci siè collegati precedentemente.
84 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Il client trasmette le proprie informazioni di autenticazione al server usando una codifica a 128 bit
Tutti i dati inviati e ricevuti durante la sessione, vengono trasferiti utilizzando una codifica a 128 bit, in questomodo è estremamente complesso decodificare e leggere le trasmissioni.
Poichè il protocollo SSH codifica tutto ciò che invia e riceve, esso può essere usato per cifrare protocolli chealtrimenti non sarebbero sicuri.
• Passo 2 – Cattura dei dati
◦ Far partire Wireshark (in modalità promiscua) filtrando i soli pacchtti SSH
◦ Aprire una sessione PuTTY come in figura:
◦ Entrare, da remoto, nel sistema Raspberry Pi con le credenziali e digitare il comando divisualizzazione dei file (comando ls -l)
◦ Visualizzare i pacchetti su Wireshark e verificare che i dati sono crittografati:
(https://support.citrix.com/article/CTX116557 )
85 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Challenge 2 – Pen Test
Il “Penetration testing”, detto anche “pen test”, è la pratica di testare un sistema informatico perindividuare vulnerabilità che potrebbero essere sfruttate da un malintenzionato. Il processo cerca discoprire possibili varchi per entrare nel sistema e prenderne possesso come amministratore.
Obiettivo - Siete responsabili del CERT dell’organizzazione non-profit "Terranostra", la cuimissione è sensibilizzare le nuove generazioni sulle conseguenze del cambiamento climatico.
Vi è stato richiesto di mettere in sicurezza il server Web di SOS perché esiste la ragionevolecertezza che sarà oggetto di attacchi mirati da parte di organizzazioni che hanno intersse a nondivukgare le informazioni scientifiche.Il vostro server si basa su LAMP (Linux, Apache, MySql, PHP).Cfrhttps://docs.google.com/document/d/e/2PACX1vT12bc2MTYdeeSUDZQULPwODFQW6SMNO0MK1sMWWlhmdyOHHjUQ9kQGYUZxXGp4_-iVDs9H68bZi_R/pub
86 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Doc e StrumentiBreve corso base sulla sicurezza:
https://docs.google.com/presentation/d/1X0jolfzKPQivBw783Ho5FMlE5EmgJVL_vzeZVrnV3Ow/pub?start=false&loop=false&delayms=3000
www.hackthebox.eu/
https://infoinsecu.wordpress.com/2017/11/06/htb-invite-code/ https://www.youtube.com/watch? v=S5vdxkF-OKg
Linux (https://github.com/sagishahar/lpeworkshop https://hacktips.it/guida-privilege-escalation-sistemi-linux/ ) . Alcunicomandi per identificare il sistema e scalere privilegi
Distribuzione Linux e versione (per cercare exploit del kernel):
cat /etc/issue
cat /etc/*-release
Tipologia di architettura (per adattare eventuali exploit):
cat /proc/version
uname -a
Variabili d’ambiente (potrebbero essere salvate informazioni utili):
cat /etc/profile
cat /etc/bashrc
cat ~/.nano_history
cat ~/.mysql_history
cat ~/.php_history
Servizi attivi (nel caso in cui qualche processo stia girando con permessi laschi):
ps aux
ps -ef
top
cat /etc/services
Applicazione installate: (potrebbero esserci exploit pubblici per certi software installati)
sudo -l
ls -alh /usr/bin/
ls -alh /sbin/
dpkg -l
rpm -qa
Applicazioni utili: (per compilare exploit o eseguire script)
gcc -v
mysql –version
java -version
python –version
Configurazioni di servizi: (password in chiaro, misconfigurazioni, etc)
cat /etc/syslog.conf
cat /etc/apache2/apache2.conf
cat /etc/php5/apache2/php.ini
Jobs schedulati: (nel caso in cui ci siano permessi laschi)
87 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
crontab -l ls -alh /var/spool/cron
ls -al /etc/ | grep cron
Configurazione di rete: (per eventuali movimenti laterali successivi e/o per ricavare altre informazioni)
/sbin/ifconfig -a
cat /etc/network/interfaces
grep 80 /etc/services
netstat -tunap
arp -a
route -n
/sbin/route -nee
iptables -L
hostname
dnsdomainname -I
Enumerazione degli utenti (nel caso in cui ci siano utenti privilegiati sfruttabili per effettuare la scalata):
idwho
wlast
cat /etc/passwd | cut -d : -f 1 # List users
grep -v -E “^#” /etc/passwd | awk -F: ‘$3 == 0 { print $1}’ # List of super users
cat /etc/passwd
File di log (per ricavare informazioni utili):
ls -alh /var/log
ls -alh /var/mail
ls -alh /var/spool
Esempiosudo -lsudo vi:!/bin/bash# (root)
Filmati e articoli
LA SICUREZZA INFORMATICA ESISTE?http://video.corriere.it/sicurezza-informatica-esiste/9696cca4-96dd-11e6-9c27-eb69b8747d1f
Ministero https://www.sicurezzanazionale.gov.it/sisr.nsf/sicurezza-in-formazione/la-cyber-security-in-italia.html
Decreto https://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento/dpcm-17-febbraio-
2017.html
cyber war febbraio 2016 http://www.rai.it/dl/RaiTV/programmi/media/ContentItem-0401edaa-cbd7-4617-8e02-
fca91e8c3aa1.html
http://www.rai.it/dl/RaiTV/programmi/media/ContentItem-451c9363-3223-4a42-a0d5-5f2745a8f15d.html#p= on line
http://www.corriere.it/tecnologia/app-software/cards/cyberspionaggio-come-funzionava-eye-pyramid-usato-spiare-renzi-
draghi/metodo_principale.shtml
88 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
http://video.clusit.it/ https://www.youtube.com/watch?v=G9k-vec_Qho
Fake news
◦ http://www.fastweb.it/web-e-digital/notizie-false-come-riconoscerle-sui-social-network/? utm_medium=email&utm_campaign=newsletter_dm&utm_source=newsletter
◦ http://www.commissariatodips.it/
◦ http://www.fastweb.it/web-e-digital/wikipedia-contro-le-fake-news-ed-elimina-il-daily-mail-dalle-fonti/
Spoofing
emkei[.]cz, che permette di mandare mail spoofed direttamente dall’interfaccia web.Inutile ricordare che tutti gli indirizzi li digitati vengono poi storicizzati e venduti. Ci potrebbe quindi essere un incremento di posta non desiderata (spam, phishing, ecc…) verso l’indirizzo gmail utilizzato
CVE-2014-0160 https://vimeo.com/91425662 earthbeat
http://www.corriere.it/tecnologia/provati-per-voi/cards/siete-stati-hackerati-10-segnali-capirlo-come-rimediare/furto-solo-fine-un-processo_principale.shtml
http://www.ansa.it/sito/notizie/tecnologia/hitech/2017/05/26/virus-nei-sottotitoli-dei-film-piratati_c4bb5005-3e7a-4809-8843-1f85ad4bc9df.html
http://www.agi.it/innovazione/2017/05/12/news/attacco_informatico_cyber_attack_ransomware_wannacry-1767482/
http://security.stackexchange.com/questions/55116/how-exactly-does-the-openssl-tls-heartbeat-heartbleed-
exploit-work
https://clusit.it/wp-content/uploads/download/Rapporto_Clusit%202016.pdf
http://www.repubblica.it/tecnologia/sicurezza/2017/02/21/news/l_anno_peggiore_per_la_sicurezza_informatica_rapporto_clusit_2017_l_italia_preda_del_cybercrimine-158861676/
wifi
http://www.di.unisa.it/~ads/corso-security/www/CORSO-0304/WirelessEthernet/Sicurezza.htm
wifi sec http://www.windowsdevcenter.com/pub/a/windows/2007/06/26/windows-wireless-lan-security-primer.html
http://www.fatturapa.gov.it/export/fatturazione/it/index.htm fattura el
pec http://www.inipec.gov.it/faq/pec/-/asset_publisher/fvy7juLdbIVS/content/dpr-11-febbraio-2005-n-68
http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2005-02-11;68
SNMP https://studiconme.wordpress.com/2010/10/21/snmp/
virtualizza http://www.vmware.com/it/virtualization/how-it-works BELLO!
RETI VIRTUALI http://www.ingegneria-informatica.unina.it/sites/default/files/elaborati_tesi/2014/07/Elaborato%20Trapasso%20Giuseppe%20N46-000877.pdf
san http://www.recuperodati.it/faq/39-generale-recupero-dati/123-che-cose-una-san
cloud http://www.businessnewsdaily.com/5791-virtualization-vs-cloud-computing.html
http://www.cloudtalk.it/tipologie-di-virtualizzazione-e-differenze-rispetto-al-cloud-computing/ cloud
89 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
Juice http://www.imagicle.com/it-it/Support/Imagicle-Virtual-Appliance
http://www.corriere.it/la-lettura/orizzonti/cards/gli-hacker-all-attacco-casa-
News
- MITRE CVE-2020-0601Published: 01/14/2020 | Last Updated : 01/16/2020MITRE CVE-2020-0601 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0601 (A spoofing vulnerability exists in the way Windows CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates.An attacker could exploit the vulnerability by using a spoofed code-signing certificate to sign a malicious executable, making it appear the file was from a trusted, legitimate source, aka 'Windows CryptoAPI Spoofing Vulnerability'. ).
National Security Agency | Cybersecurity Advisory https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
An attacker could exploit the vulnerability by using a spoofed code-signing certificate to sign a malicious executable, making it appear the file was from a trusted, legitimate source. The user would have no way of knowing the file was malicious, because the digital signature would appear to be from a trusted provider.
A successful exploit could also allow the attacker to conduct man-in-the-middle attacks and decrypt confidential information on user connections to the affected software.
https://www.corriere.it/tecnologia/20_gennaio_15/falla-windows-10-rischio-dati-milioni-utenti-come-proteggersi-87066ba0-377f-11ea-b25b-5930a7f9c854.shtml : “l’errore si trova all’interno di crypt32.dll, un componenteche verifica le firme digitali e la crittografia dei software. Il rischio, dunque, è che un malintenzionato possa appropriarsi di queste informazioni, presentare all’utente un file eseguibile (.exe) pericoloso ma, allo stesso tempo, far sì che sembri del tutto legittimo proprio a causa della falsificazione dei certificati di sicurezza originali. “
- Shlayer Trojan attacks one in ten macOS users - Despite its prevalence, from a technical viewpoint Shlayer is arather ordinary piece of malware. Of all its modifications, only the recent Trojan-Downloader.OSX.Shlayer.e stands apart. Unlike its Bash-based cousins, this variant of the malwareis written in Python, and its operation algorithm is also somewhat different. Let’s demonstrate thisusing a DMG file with MD5 4d86ae25913374cfcb80a8d798b9016e.
https://securelist.com/shlayer-for-macos/95724/
90 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12
(*) A file with the DMG file extension is an Apple Disk Image file, or sometimes called a Mac OSX Disk Image file, which is basically a digital reconstruction of a physical disc.
- Windows 0-day exploit CVE-2019-1458 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1458 )used in OperationWizardOpium
By AMR, GReAT on December 10, 2019. 8:00 pm
In November 2019, Kaspersky technologies successfully detected a Google Chrome 0-day exploitthat was used in Operation WizardOpium attacks. During our investigation, we discovered that yetanother 0-day exploit was used in those attacks. The exploit for Google Chrome embeds a 0-dayEoP exploit (CVE-2019-1458) that is used to gain higher privileges on the infected machine as wellas escaping the Chrome process sandbox. The exploit is very similar to those developed by theprolific 0-day developer known as ‘Volodya’.
NOTA: Just Delete Me https://tinyurl.com/y9dy6lpm “Tra i servizi dai quali e� molto difficile cancellarsi ci
sono quelli di Adobe, AliBaba, Amazon, Fitbit, Groupon, ma anche il New York Times, Paypal, Skype,Ticketmaster e Tripadvisor. Moltissimi sono anche i servizi dai quali di fatto e� impossibile cancellarsi. “https://www.avvenire.it/rubriche/pagine/noi-sempre-piu-ostaggidi-servizi-e-app-digitali
(SEB) Safe exam browser https://docs.moodle.org/38/en/Safe_exam_browser
Videoconferenza:
https://cloud.google.com/blog/products/g-suite/how-google-meet-keeps-video-conferences-secure
https://www.dday.it/redazione/34967/zoom-dati-utenti-dark-web
https://www.cvedetails.com/vulnerability-list/vendor_id-2159/Zoom.html
91 - paolo macchi – Incidenti e Password - Elementi di sicurezza informatica - rel. 20.05.12