Transcript Probematiche delle reti aziendali

PROBLEMATICHE DELLE
RETI AZIENDALI
Vittorio Moriggia
Università degli Studi di Bergamo
7/16/2015 11:18:16 PM
Definizioni note
Local Area Network
Rete di comunicazione che collega una vasta
gamma di dispositivi per la comunicazione dei
dati all’interno di una piccola area geografica e
trasferisce i dati a elevate velocità con livelli di
errore estremamente bassi (obsoleto)
Metropolitan Area Network
Rete che interconnette reti locali che operano
all’interno di una città
Wide Area Network
Rete che collega utenti che operano sparsi in una
vasta area geografica (ad es. tutto il mondo)
2
7/16/2015 11:18:16 PM
Rete geografica
Wide Area Network (WAN)
= LAN
Interconnessione tra computer attraverso un
mezzo di trasmissione
 LAN
Coprono enormi distanze
Numero elevato di calcolatori
Comprendono reti di dati (Internet) e reti vocali
(sistemi telefonici)
3
7/16/2015 11:18:16 PM
Connessione di reti LAN in Internet
4
7/16/2015 11:18:16 PM
Sicurezza delle reti
Nonostante gli attuali calcolatori adottino alcuni dei
più sofisticati sistemi di sicurezza, non sono mai stati
così vulnerabili
Questa vulnerabilità proviene dalla possibilità di
collegarsi a questi computer da ogni parte del mondo
via Internet
La sicurezza di un computer e di una rete è applicata
in diverse forme, attraverso algoritmi di criptografia,
controllo dell’accesso, firma digitale, fino alle
impronte digitali e alla scansione facciale utilizzate
come password
5
7/16/2015 11:18:16 PM
Rischi alla sicurezza della rete
L’architettura aperta di Internet Protocol (IP) consente
un’elevata efficienza, riduzione dei costi e un protocollo
di comunicazione flessibile per connessioni locali e
globali. Questo protocollo è stato largamente adottato,
non solo nell’intera Internet, ma anche per reti interne di
grandi aziende
L’Internet Protocol era stato disegnato per essere
altamente affidabile in presenza di errori della rete.
Tuttavia, non era stato disegnato per essere sicuro
contro attacchi fraudolenti Infatti, questo protocollo è
vulnerabile a un ben noto numero di attacchi. Questo
fatto proclude il suo pieno utilizzo nel business e in altri
scopi che prevedano dati riservati o critici
fonte: http://www.ssh.com/support/documentation/online/ssh/winhelp/32/network_security_risks.html
6
7/16/2015 11:18:16 PM
La sensibilità dell’e-commerce
Gentile Cliente, per rendere sempre più sicura
la tua navigazione, abbiamo studiato una nuova
sezione del sito Help di Virgiliotin dedicata
alla tutela in rete che affronta e risolve i
problemi derivanti da Spam, Attacco e Virus.
La sezione "Sicurezza" è disponibile on line
tra le guide pubblicate sul nostro sito di
assistenza .Visitaci alla pagina "Sicurezza" e
scoprirai tutto ciò che non conosci
sull'argomento o, se preferisci, contatta il
nostro numero di assistenza Clienti 166 800 888
(79 centesimi di euro al minuto + iva) dalle 8
alle 24 tutti i giorni. A presto.
Il Customer Care di VirgilioTin
7
La vulnerabilità
7/16/2015 11:18:16 PM
9
Network Intrusion Detection e Vulnerability
Assessment
Network Intrusion Detection:
individuazione di un’intrusione nella rete
diverso da
Vulnerability Assessment: conoscere la
vulnerabilità di una rete
7/16/2015 11:18:16 PM
10
Le vulnerabilità sono in crescita …
I sistemi e le reti presentano vulnerabilità che
possono essere sfruttate per compromettere gli
stessi
System and Network Vulnerabilities by Year
150
100
Total
Vulnerabilities
177
Total
Vulnerabilities
511
50
0
1998
1999
Total
Vulnerabilities
794
Total
Vulnerabilities
>1000*
2000
2001
Source: Security Focus (* 2001 through July is 499)
La crescita mensile in vulnerabilità dei sistemi di
sicurezza supera la crescita mensile di nuovi virus
7/16/2015 11:18:16 PM
… e riguardano tutti
La
vulnerabilità è
presente in
tutti i maggiori
sistemi
operativi
Tutte le
tecnologie
soffrono di
vulnerabilità o
errori
potenziali di
configurazione
11
7/16/2015 11:18:16 PM
12
Network Intrusion Detection e Vulnerability
Assessment. La problematica.
Valutare i rischi e le vulnerabilità di reti e sistemi è
importante:
+ di 1000 vulnerabilità riscontrate in un anno
• + di 2 vulnerabilità al giorno
Il 99% degli attacchi sfruttano vulnerabilità conosciute
(la discutibile abilità dell’hacker medio)
Nuovi elementi nell’infrastruttura e/o l’aggiornamento di
sistemi ed applicativi introducono nuove vulnerabilità
…359.000 server infettati da Code-Red in 14 ore!…
7/16/2015 11:18:16 PM
13
In 24 ore NIMDA ha colpito 2,2 milioni di server
La pulizia dagli attacchi da malicious code
nel 2001 è stata di 12 miliardi di dollari
L’industria del software per la sicurezza
costa solo 4,5 miliardi di dollari
fonte: www.computereconomics.com
7/16/2015 11:18:16 PM
14
Love Letter
$7B
I virus sfruttano
queste vulnerabilità
in
5 hours*
Melissa
$385M
in 5 days
$1.1B
accumulated
Jerusalem Cascade
$50M
$50M
in 3 years
in 5 years
1987
1990
Concept
$50M
in 4 months
1995
1999
2000
7/16/2015 11:18:16 PM
Danni da Malicious Code
Danni da codice malintenzionale da
gennaio ad agosto 2001: $10,7 miliardi
(in 8 mesi) di cui:
Code-Red $2,6 miliardi, con 1 milione di
Web Server infettati
SirCam $1,03 miliardi, con 2,3 milioni di
sistemi infettati
15
7/16/2015 11:18:16 PM
Malicious Code: Vandals
Cosa sono
Mobile Code che “viaggia” su Internet
Non necessita di infettare altri programmi per
propagarsi
Si auto-scarica/auto-esegue
Non è individuato da sistemi tradizionali di antivirus
Cosa possono fare
Carpire files (documenti, passwords,etc.)
Avviare attacchi di DoS
Portare alla perdita di informazioni (confidenziali)
16
Natura degli attacchi
7/16/2015 11:18:16 PM
Attacchi standard del sistema
1. Inibizione del servizio (Denial of service attacks, o
distributed denial of service attacks), bombardano un
host (target site) con un gran numero di messaggi in
modo da invalidare le capacità dell’host. Tipi comuni
di inibizione sono:
il Bombardamento email (e-mail bombing), in cui un
utente invia, a sua insaputa, un notevole numero di mail
indesiderate agli utenti indicati nella sua rubrica
(addressbook)
lo Smurfing, con il quale un programma attacca la rete
attraverso l’indirizzamento per broadcast dell’IP. Invia un
pacchetto a un terzo ignaro che successivamente lo moltiplica
per centinaia di volte verso il server bersaglio
la tempesta di ping (Ping storm), che sfrutta il programma
ping di Internet per inondare di pacchetti un server bersaglio
18
7/16/2015 11:18:16 PM
19
Esempio di smurfing finalizzato a
disabilitare un server Web
server
compromessi
siti di
rimbalzo
Example of smurfing intended to cripple a web server
7/16/2015 11:18:16 PM
Attacchi standard del sistema
Falsificazione dell’indirizzo IP del mittente
(Spoofing) Il server bersaglio riceve la richiesta di
sincronizzazione (per l’apertura di una sessione) da
un indirizzo fasullo, invia una conferma alla
connessione e rimane in attesa della risposta
Cavallo di Troia parte di codice malintenzionato
nascosta in un altro codice dalle apparenze innocue
Individuazione o intercettazione della
password è un altro tipico attacco sferrato dagli
hackers (ad es. software che genera password verso
un access point wireless)
20
7/16/2015 11:18:16 PM
Evoluzione
Convergenza degli attacchi:
virus vengono scritti includendo
metodologie di attacco degli hacker
21
7/16/2015 11:18:16 PM
22
Minacce ibride (Hybrid Threats)
Virus
Threat
Intruder
Threat
minaccia da intruso
minaccia da virus
Hybrid Threats Emerge
(since 2001)
fonte: www.iss.net
7/16/2015 11:18:16 PM
Minacce ibride
Due i metodi principali di propagazione:
Passiva o Attiva
Propagazione passiva
Tipicamente confida nell’utente finale per
l’infezione (l’utente ignaro “deve fare qualcosa”)
Allegati E-mail (attachments)
Instant Message networks
• Opzioni di Auto-download
• Scambi via chat (Internet Relay Chat)
• MSN Messenger
23
7/16/2015 11:18:16 PM
Minacce ibride
Propagazione attiva
Impiega tecniche d’intrusione che scavalcano e
infettano senza l’input dell’utente finale
Attacco via email (E-mail Exploits)
• Vulnerabilità di Outlook
• Nimda e Sircam
• Non necessariamente per eseguire gli allegati, ma
solamente per preview
Attacco web (Web Exploits)
• MS IIS Web Servers targeted
24
Conseguenze degli attacchi
7/16/2015 11:18:16 PM
26
Minacce ibride: una volta infettati
cosa succede?
Installazione di BackDoors
Easy remote access
Keyboard loggers (leggono tutto ciò che viene
digitato da tastiera)
Implementazione della vulnerabilità*
Creazione di utenti senza password
Installazione di vecchie versioni di software più
vulnerabile
*) La vulnerabilità del sistema implica la sua insicurezza, non la sua compromissione
7/16/2015 11:18:16 PM
Minacce ibride: una volta infettati
cosa succede?
Applicazioni di protezione
Individua gli anti-virus e i firewall personali
Uccide i processi
Sostituisce le icone con dei cavalli di Troia
Impostazioni dei file e dei registri
Aggiunge, cancella, cambia, modifica,
corrode e sostituisce le impostazioni di file
e registri
27
7/16/2015 11:18:16 PM
Minacce ibride: una volta infettati
cosa succede?
Eliminazione di file e dati
Non semplicemente cancellando files (che
possono essere ripristinati con l’ undelete),
ma sovrascrivendoli e svuotandoli
Svuotamento di files locali e di rete e
formattazione completa dei dischi fissi
28
7/16/2015 11:18:16 PM
Minacce ibride: una volta infettati
cosa succede?
Corrosione di tipici database e
applicazioni di Business come:
ERP (Enterprise Resource Planning),
CRM (Customer Relationship
Management),
SCM (Supply Channel Management),
SRM (Supplier Relationship Management),
logistics and HR (human resource) based
application
29
Soluzioni alla vulnerabilità
7/16/2015 11:18:16 PM
Minacce ibride: soluzioni
Le soluzioni di sicurezza Stand-alone
(locali/singola macchina) sono necessarie
ma insufficienti
I comuni strumenti Stand-Alone Security
riguardano:
Antivirus
Firewalls
IDS (Intrusion Detection Systems)
VA (Vulnerability Assessment)
31
7/16/2015 11:18:16 PM
Perché usare una Intrusion Protection
quando già si dispone di un antivirus?
Antivirus (AV)
Ottimo per l’individuazione di
contaminazioni passive via e-mail
I motori AV sono stati disegnati 20 anni fa
Richiedono frequenti aggiornamenti delle
“impronte digitali”
Non sono progettati per bloccare le
tecniche di propagazione all’intrusione
32
7/16/2015 11:18:16 PM
Perché usare una Intrusion Protection
quando già si dispone di un Firewall?
Firewalls
Ideali per bloccare i servizi TCP/IP in ingresso
(Front-Door) attraverso delle regole (policies):
• Il firewall implementa una protezione del perimetro (in
un punto, in un istante)
33
7/16/2015 11:18:16 PM
Perché usare una Intrusion Protection
quando già si dispone di un Firewall?
Firewalls
(continua)
Non disegnato per ispezionare completamente a
livello di applicazione i servizi abilitati:
• servizi Web: Java applets, ActiveX controls, VB/Java
Scripts, Plug-In
• e-mail: attachments, in formato HTML
• database
• Instant Message networks
34
7/16/2015 11:18:16 PM
Perché usare una Intrusion Protection
quando già si dispone di un Firewall?
Firewalls
(continua)
Non disegnato per bloccare porte comunicanti
(Side-Door) di VPN
Non disegnato per bloccare le porte del retro
(backside door):
• l’impiegato porta a casa il computer portatile del
lavoro e lo infetta. Il giorno successivo avvia il laptop
al lavoro e infetta la rete locale
• Il firewall non monitora le attivita’ degli user una volta
dentro la rete aziendale
35
7/16/2015 11:18:16 PM
Perché usare una Intrusion Protection
quando già si dispone di una VPN?
Virtual Private Networks (VPN)
Le VPN si limitano a cifrare il traffico
Talvolta gli hackers sfruttano una
connessioni VPN per avere accesso alle
risorse
36
7/16/2015 11:18:16 PM
Perché usare una Intrusion Protection?
Gli strumenti di IDS monitorano
continuamente (=istante per istante)
tutta l’attivita’ nella rete aziendale
I Firewalls servono ancora!
Il controllo degli accessi al perimetro e’
comunque necessario
VPN end-point
37
7/16/2015 11:18:16 PM
Network Intrusion Detection e
Vulnerability Assessment
Una soluzione
RealSecure Network Sensor
Monitora il traffico individuando attacchi
conosciuti, malformed packets, etc
Re-assembla pacchetti frammentati per verificare
eventuali attacchi
Può essere configurato per monitorare tipi di
traffico specifico
Notifica, Login e azioni
38
7/16/2015 11:18:16 PM
Crittografia
La crittografia (Cryptography) è lo studio
della creazione e dell’utilizzo di tecniche per
cifratura e decifratura. Distinguiamo:
crittografia a chiave segreta
(una sola chiave)
con cifrari a sostituzione (mantiene l’ordine)
• monoalfabetica
• polialfabetica
con cifrari a trasposizione (non mantiene l’ordine)
crittografia a chiave pubblica
(due chiavi)
39
7/16/2015 11:18:16 PM
Firma digitale
Il documento da firmare viene trattato da
un’elaborazione matematica che genera un numero
primo molto grande (hash)
Il documento originale e l’hash sono legati insieme in
modo inestricabile
L’hash è codificato con una chiave privata
Per dimostrare l’identità l’hash viene decodificato con
una chiave pubblica
confrontato con l’hash originale
Se i due hashes coincidono, il documento appartiene al
proprietario
I governi (U.S.A. per primo) stanno approvando il valore
legale dei documenti firmati digitalmente
40
7/16/2015 11:18:16 PM
La sicurezza della firma digitale (un esempio)
In ambito finanziario la sicurezza è fondamentale, tanto più se si
opera per via telematica. Con LB i dati più sensibili, come quelli
anagrafici o il numero del conto corrente, non circolano in rete,
ma rimangono tutelati all’interno del sistema informatico.
Il dispositivo di firma digitale è uno strumento
tecnologicamente avanzato, predisposto in conformità alle
recenti disposizioni di legge, che unisce la massima sicurezza
alla massima semplicità d’uso.
Per il riconoscimento, LB si appoggia a SIA (Società
Interbancaria per l’Automazione), prima società inserita
nell’elenco dei certificatori AIPA (Autorità per l’Informatica nella
Pubblica Amministrazione).
Il protocollo SSL (Secure Socket Layer), riconosciuto dalla
VeriSign, l’Autorità di Certificazione più prestigiosa al mondo,
cripta i dati perché nessuno possa leggerli o modificarli. Il livello
di sicurezza utilizzato da LB, RC4 a 128 bit, è il massimo
realizzabile per la riservatezza delle informazioni telematiche.
41
Content Security
7/16/2015 11:18:16 PM
Alcune Considerazioni
Quasi il 100% delle società utilizza sistemi di
antivirus
Attacchi attraverso i virus sono in continua
crescita
Molti dei sistemi antivirus adottati sono per
desktop e mail server
MOLTE SOCIETA’ NON FANNO “ISPEZIONE”
DEL TRAFFICO WEB (HTTP)….
43
7/16/2015 11:18:16 PM
Cos’è la “Content Security”
Una o più tecnologie che assicurano un
flusso di informazioni “pulite”:
da malicious code (Vandals, viruses,
worms, Trojans, ActiveX, Java, scripts)
da contenuti inappropriati e improduttivi
44
7/16/2015 11:18:16 PM
45
Impiego di Internet in azienda
(Employee Internet260Management)
milioni
di impiegati
Asia-Pacific
51
Europa
122
Asia-Pacific
Europa
North
America
12
39
87
North
America
50
2000
2003
Fonte: Dataquest
7/16/2015 11:18:16 PM
Le Minacce da Fronteggiare
Maliciuos Code
(Vandals, Trojans, Back-doors, Worms, Viruses)
Corrompere o ottenere informazioni sensibili (documenti,
passwords,etc.)
Portare alla perdita di informazioni (confidenziali)
Contenuti inappropriati
(XXX, Warez, Hackerz, Jokes, MP3, MPEG)
Spreco di tempo e denaro per le aziende
Esposizione dei Dati
Ottenere dati utilizzando Malicious Code
Divulgazione di dati sensibili (anche in maniera
deliberata)
46
7/16/2015 11:18:16 PM
La situazione
30% a 40% degli accessi ad Internet non hanno alcun
legame con l’attivita’ dell’impresa (IDC Research)
70% del traffico pornografico fra le 9h e le 17h
(SexTracker)
Le parole piu’ richieste : mp3 & sex (WordTracker)
92% dei clienti di Charles Schwab Corp. (eTrading)
passano le loro transazioni di Borsa dal posto di lavoro
54% degli impiegati passa almeno 30 min. per giorno su
dei siti che non riguardano loro attività professionale
(Std Comp.)
-->
47
7/16/2015 11:18:16 PM
Contenuti inappropriati
Contenuti considerati inappropriati o non
relativi all’attività lavorativa
Spreco delle risorse aziendali
• Banda
• Tempo
Espone le aziende a responsabilità legali
Danni alla reputazione
48
7/16/2015 11:18:16 PM
Contenuti Inappropriati:
responsabilità legali
January 2000, Human Rights (USA) /
Computer Weekly
Due dipendenti della Nissan Motor Company,
che erano stati licenziati per aver spedito
email a sfondo sessuale, successivamente
citarono in giudizio Nissan stessa per
lIcenziamento senza giusta causa e
violazione della legge sulla privacy. Tuttavia,
Nissan vinse la causa poiché aveva delle
policy aziendali sull’utilizzo della posta
elettronica che proibivano l’uso di computer
aziendali per scopi non aziendali.
49
7/16/2015 11:18:16 PM
Contenuti Inappropriati:
danni alla reputazione
Dicembre 2000
Norton Rose, un’importante studio
legale, ebbe la propria reputazione
danneggiata essendo stati gli originatori
dell’ email "Claire Swire" ; una email a
sfondo sessuale pervenuta a circa 10
milioni di persone nel mondo
50
7/16/2015 11:18:16 PM
Esposizione di dati aziendali
Malicious Code sono in grado carpire
informazioni e documenti e di trasmetterli da
vostro PC all’esterno
Divulgazione intenzionale di dati sensibili
51
7/16/2015 11:18:16 PM
Esposizione di dati aziendali:
divulgazione di dati sensibili
August 2000, Reuters English News
Service
Apple Computer ha intentato causa
contro un individuo per aver pubblicato
su Internet due foto di prodotti ancora
non ufficialmente presentati causando
una perdita di valore delle azioni Apple al
NASDAQ
52
7/16/2015 11:18:16 PM
Employee Internet Management
Una soluzione
WebSense Enterprise 4.4
Filtra l’accesso a siti Web attraverso
l’utilizzo di un Database composto da:
• + di 4.000.000 di URL (+ di 800 Mil. di pagine)
• Suddiviso i categorie (sport, lavoro, sex, etc.)
• + di 25.000 siti nuovi a settimana
Definizione di Policy temporali, per user, ad
accesso con password.
Funzionalità di reporting
53
7/16/2015 11:18:16 PM
54
Il design Websense
user
Websense
Manager
Websense
Log server
Web Proxy, Cache
or Firewall
Websense
Server
Internet
7/16/2015 11:18:16 PM
La soluzione Websense
La pagine per default quando l’utente viene bloccato !!!
55
7/16/2015 11:18:16 PM
56
Perché Websense
Il contenuto del database: qualità e quantità
Programma di High frequency
sites (rifresco del database
completo ogni mese).

Top
Domains
% of web traffic
Review
Cycle
100,000
94%
1 months
1000
55%
1 week
100
38%
1 week
7/16/2015 11:18:16 PM
62
Altri lavori
ANATOMIA DI UN’INTRUSIONE
Greg Shipley offers a great feature detailing many of the means by which an
intruder may approach your particular systems in an attempt to break in.
[Network Computing]
http://www.ntsecurity.net/go/2c.asp?f=/features.asp?IDF=130&TB=f
LA NATURA DELL’INTRUSO DI RETE
In her feature for Network World, Ellen Messmer discusses various intrusion
detection systems (IDS,) as well as the nature of the industry regarding
ongoing development. [Network World]
http://www.ntsecurity.net/go/2c.asp?f=/features.asp?IDF=129&TB=f
LIVELLO DELLA SICUREZZA DEGLI ANNI 2000
Network Computing offers a bird's eye view of the challenges we'll all face in
the coming years. In this article, which discusses VPNs, PKI, firewalls, intrusion
detection systems, various various security tools, and antivirus concerns,
experts offer the skinny on what to expect and to keep things in a proper
perspective. [Network Computing]
http://www.ntsecurity.net/go/2c.asp?f=/features.asp?IDF=128&TB=f
7/16/2015 11:18:16 PM
87
Melissa
Private Sub Document_Open()
On Error Resume Next
...
Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject("Outlook.Application")
Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI")
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\",
"Melissa?") <> "... by Kwyjibo" Then
...
If UngaDasOutlook = "Outlook" Then
DasMapiName.Logon "profile", "password"
For y = 1 To DasMapiName.AddressLists.Count
Set AddyBook = DasMapiName.AddressLists(y)
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") =
"... by Kwyjibo"
End If
...
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!
...
If Day(Now) = Minute(Now) Then Selection.TypeText " Twenty-two points, plus triple-wordscore, plus fifty points for using all my letters. Game's over. I'm outta here."
End Sub