apt demystified - storia quotidiana dell’insicurezza informatica nelle aziende italiane -...
DESCRIPTION
Al giorno d’oggi la scena dell’(in)sicurezza informatica, in particolar modo all’interno delle aziende e delle organizzazioni Italiane (PA, PMI, Enterprise, Corporate) è stata prepotentemente invasa dal tema APT. Bisogna realmente preoccuparsi di questo “nuovo” genere di minacce ? Sono davvero così diffuse e pericolose o sono di gran lunga sopravalutate, nella speranza che si crei un nuovo mercato artificiale in favore di qualche vendor ? Nel corso dell’intervento saranno riportate le esperienze, REALI, relative ad un anno di attività Security Assessment svolte all’interno delle aziende Italiane. In questo contesto si cercherà di sensibilizzare la platea relativamente alle minacce che costituiscono un pericolo concreto per la sicurezza delle aziende e delle organizzazioni Italiane.TRANSCRIPT
15/10/2012 APT Demistified 1/2
0
APT DEMYSTIFIED STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIENDE ITALIANE
Francesco Perna
15/10/2012 APT Demistified 2/2
0
Chi sono
• Appassionato di Computer dai primi anni ‘90 (invece del pallone di cuoio mio padre mi ha regalato un 8086 J ) e di Sicurezza Informatica da almeno 15 anni
• Security Researcher e Analyst
• Socio dell’associazione culturale telematica Metro Olografix
• Socio e responsabile tecnico di Quantum Leap srl, una società di consulenza che offre servizi di Sicurezza Informatica ad aziende ed organizzazioni
• http://it.linkedin.com/in/francescoperna
15/10/2012 APT Demistified 3/2
0
Di cosa si parlerà
• Demistificazione delle Minacce Avanzate e Persistenti (APT). Timeline dei principali attacchi rilevati, modelli di infezione adottati e analisi dei costi
• Vulnerabilità non «Avanzate» che minano la Sicurezza delle reti delle aziende Italiane. Troppo spesso queste vulnerabilità sono poco considerate, sottovalutate o non conosciute
• Dell’impato sulla Sicurezza causato da tecniche e tools noti da almeno 10 anni
• Contromisure da adottare per difendersi dalle Minacce avanzate e persistenti
15/10/2012 APT Demistified 4/2
0
0-DAY OR NO WAY … ADVANCED PERSISTENT THREAT
15/10/2012 APT Demistified 5/2
0
Gli attacchi sono ad ampio spettro:
•Vulnerabilità note unpatched, 0day, Internet Attacks
•Device infetti (Memorie, USB Stick, Tampered Device) •Vulnerabilità infrastrutturali •Social Engineering, insider agent
L’agente di minaccia esegue una missione:
•La persistenza è intesa come la capacità di poter completare gli obiettivi richiesti quando richiesto.
•Non è detto che venga eseguito costantemente del codice sul sistema attaccato
La minaccia non è costituita solo da malware:
•Dietro ai malware c’è un gruppo organizzato di persone motivate, organizzate e ben finanziate che compiono azioni all’interno dell’infrastruttura attaccata (data exfiltration, sabotaggio, intelligence, …)
Advanced Persistent Threats
ADVANCED
PERSISTENT
THREATS
15/10/2012 APT Demistified 6/2
0
APT Timeline eventi più significativi
15/10/2012 APT Demistified 7/2
0
Anatomia di un attacco
Malware Deployment
•Network Attack •Social Engineering
•Rogue Devices
Setup C&C Communications
C&C Control
•Ricognizione
•Furto di documenti •Sabotaggio •Spionaggio
•Denial Of Service
Persistenza nel perimetro
•Diffusione su altri sistemi all’interno dell’infrastruttura
•Occultamento
15/10/2012 APT Demistified 8/2
0
Stuxnet, stima dei costi
15/10/2012 APT Demistified 9/2
0
LE MINACCE ITALIANE CHI HA PAURA DEGLI APT ?
15/10/2012 APT Demistified
10/2
0
Ha davvero senso preoccuparsi ?
• La tipica Azienda o Organizzazione Italiana è ben lontana da dover temere le minacce di questo tipo
• Poiché la Sicurezza è vista troppo spesso soltanto come un costo, non sono implementate le contromisure necessarie a garantirne un livello adeguato rispetto ai processi aziendali
• Nelle slide successive saranno riportati alcuni esempi di Insicurezza Aziendale riscontrati nel corso delle attività di PenTest effettuate nel 2012
• Le Aziende di altri paesi non sono molto diverse in termini di sicurezza (basta pensare ad RSA, Stratfor, Sony, ecc.)
15/10/2012 APT Demistified
11/2
0
«NON È POSSIBILE DALL’ESTERNO ARRIVARE IN QUESTO PUNTO DELLA RETE»
INSICUREZZA DELLA RETE FISICA
15/10/2012 APT Demistified
12/2
0
Metodi per l’accesso fisico
• Per accesso fisico ad una rete in genere si intende l’accesso effettuato utilizzando il cavo di rete attestato sull’infrastrutura aziendale
• Un’estensione dell’accesso fisico avviene per mezzo delle tecnologie wireless o di accesso remoto
• Per garantire la sicurezza della rete bisogna garantire la sicurezza
• Dei canali fisici per l’accesso alla rete
• Dei locali e infrastrutture che consentono di accedere ai canali fisici della rete
15/10/2012 APT Demistified
13/2
0
(in)sicurezza dei locali
15/10/2012 APT Demistified
14/2
0
(in)sicurezza della rete ethernet
15/10/2012 APT Demistified
15/2
0
(in)sicurezza di altri accessi wired
• Cavi «dismessi»
• Rack aperti
• Grovigli di cavi
• Wall-Plug
• Esistono i vampiri ? Sicuro, ma l’aglio non serve J
15/10/2012 APT Demistified
16/2
0
(in)sicurezza degli accessi wireless
• Wifi 802.11*
• Open Network
• Weak Crypto / Pass-phrase deboli
• WPA Generated Key, quanti la cambiano ?
• Guest Network
• GPRS\UMTS APN
• Closed User Group questo sconosciuto
• TEST\TEST non si nega a nessuno
• Other RF (Bluetooth, Zigbee, Custom RF)
15/10/2012 APT Demistified
17/2
0
(in)sicurezza degli accessi legacy
15/10/2012 APT Demistified
18/2
0
«LA NOSTRA RETE È SICURA: ABBIAMO FIREWALL, IDS, IPS, …»
INSICUREZZA DELLA RETE LOGICA
15/10/2012 APT Demistified
19/2
0
Principi di design di una rete sicura
• Gli apparati di rete impiegati devono essere dimensionati correttamente
• La rete, oltre che per questioni legate alla sicurezza, deve essere segmentata
• I protocolli di rete non necessari per gli utenti, non devono essere esposti sulle reti dove essi sono attestati
15/10/2012 APT Demistified
20/2
0
Questa è la nostra rete
• 2 Router, 1 Firewall ed un pizzico di follia J
• Il router «Internet PRIV» instrada le VPN oltre al traffico internet generico
• Un agente di minaccia può occuparsi degli attacchi senza doversi preoccupare delle contromisure
15/10/2012 APT Demistified
21/2
0
Switch in Fail Open
• Per garantire la continuità operativa gli switch, in determinate condizioni di «stress», iniziano ad operare come se fossero degli hub
• Non sempre questo comportamento è determinato da azioni compiute da un agente di minaccia
• Microsoft, misconfigured, NLB cluster
• Troppi Client\Server attestati sull’infrastruttura
15/10/2012 APT Demistified
22/2
0
Man in the middle
• Nei primi anni 2000 sono stati svilupati degli attacchi diretti alle reti switched che consentono di poter intercettare il traffico
• Negli anni seguenti sono state sviluppate le contromisure necessarie a proteggere le reti da questi attachi
• Nel 2012 riscontriamo che …
15/10/2012 APT Demistified
23/2
0
Man in the middle
• Non è cambiato niente
http://blackhats.it/it/papers/Slides-mitm.pdf
15/10/2012 APT Demistified
24/2
0
Protocolli di gestione della rete
• Sistemi di asset management cercano, OVUNQUE SULLA RETE, i dispositivi per mezzo delle community SNMP
• Repository delle configurazioni degli apparati di rete, e di sicurezza, non adeguatamente protetti
• Le configurazioni includono password, community SNMP, subnet e altre informazioni utili per portare a termine attacchi strutturati all’interno dell’infrastruttura attaccata
15/10/2012 APT Demistified
25/2
0
«I NOSTRI PROGRAMMATORI SONO DEGLI EX HACKER CHE ORA SONO BUONI»
INSICUREZZA NEL MONDO DELLE APPLICAZIONI
15/10/2012 APT Demistified
26/2
0
(in)sicurezza nel software
Il mio codice funziona meglio di quello nella
libreria
o
Conoscevamo già quella
vulnerabilità
Quello non è un bug, è una
feature
Carenze nei meccanismi di validazione e
neutralizzazione dell’input
Controllo d’accesso … Client Side
Password in chiaro
15/10/2012 APT Demistified
27/2
0
Protezione offerta dagli anti virus
• msfpayload windows/meterpreter/bind_tcp X > moca_x86_tcp_4444.exe
15/10/2012 APT Demistified
28/2
0
Protezione offerta dagli anti virus
• msfpayload windows/x64/meterpreter/bind_tcp X > moca_x64_tcp_4444.exe
15/10/2012 APT Demistified
29/2
0
Il problema degli anti virus
• Stando alle risposte ricevute dai vendor, questo comportamento non può essere considerato una vulnerabilità, in quanto mancano soltanto le signature
• Sebbene la risposta sia formalmente corretta, il fatto che gli antivirus non riescano ad identificare minacce a 64 bit costituisce una vulnerabilità
• The truth is, consumer-grade antivirus products can’t protect against targeted malware created by well-resourced nation-states with bulging budgets. They can protect you against run-of-the-mill malware: banking trojans, keystroke loggers and e-mail worms. But targeted attacks like these go to great lengths to avoid antivirus products on purpose – Mikko Hypponen
15/10/2012 APT Demistified
30/2
0
«L’UNICO RISULTATO OTTENIBILE FACENDO DEI SISTEMI A PROVA DI IDIOTA, È QUELLO DI SFIDARE DIO A FARE DEGLI IDIOTI PIÙ IDIOTI DI PRIMA»
MINACCE PERSISTENTI REALI
15/10/2012 APT Demistified
31/2
0
Il fattore umano
15/10/2012 APT Demistified
32/2
0
Il fattore umano
• Un utente medio riesce a clickare più velocemente di quanto riesca a pensare
• Per quanto ci si sforzi di fare security awarness, dato un subset di cose da non fare, gli utenti le faranno
• Data una limitazione imposta per ragioni di security, gli utenti troveranno un modo per bypassarla