...

C`è una guerra là fuori e non vincerà chi ha più pallottole

by user

on
Category: Documents
6

views

Report

Comments

Transcript

C`è una guerra là fuori e non vincerà chi ha più pallottole
C’è una guerra là fuori
e non vincerà chi ha più pallottole
Minacce cyber e social network: rischi e utilizzo
Alessio L.R. Pennasilico
[email protected]
$whois -=mayhem=-
Security Evangelist @
Committed:
AIP Associazione Informatici Professionisti
CLUSIT, Associazione Italiana per la Sicurezza Informatica
IISFA, Italian Linux Society, Metro Olografix
Sikurezza.org, Spippolatori
....
Alessio L.R. Pennasilico - [email protected]
2
Research Programs
CRISTAL
Critical Infrastructure Security
and Test Analysis Lab
Childhood ITSec Awareness Permanent Program
Alessio L.R. Pennasilico - [email protected]
3
L’importanza delle informazioni
Alessio L.R. Pennasilico - [email protected]
4
Etica
E’ giusto fare tutto quel che posso fare?
Ha a che fare con la tecnologia?
Alessio L.R. Pennasilico - [email protected]
5
Il mantra della security: CIA
Riservatezza
Integrità
Disponibilità
Alessio L.R. Pennasilico - [email protected]
6
Premessa
IP
Ogni computer ha un identificativo unico:
l’Indirizzo IP
Alessio L.R. Pennasilico - [email protected]
8
IP
Per chi gestisce un servizio può identificare
una persona
una azienda
un Internet provider
può determinare luogo fisico e dare svariate altre informazioni
Alessio L.R. Pennasilico - [email protected]
9
Log
I servizi a cui accediamo tracciano chi si collega e cosa fa
L’archivio da tali informazioni si chiama log repository
Questo archivio può contenere giorni, settimane, mesi o anni di storia...
Alessio L.R. Pennasilico - [email protected]
10
Anonimato
E’ possibile sapere chi sta “indagando” su di noi?
E’ possibile nascondere la propria identità?
Alessio L.R. Pennasilico - [email protected]
11
Crittografia
Una e-mail a cosa assomiglierebbe di più nel mondo analogico?
Ad una lettera o ad una cartolina?
e WhatsApp? le chat di FB? gli SMS?
Che garanzie di riservatezza per noi e per le nostre fonti e per gli
oggetti delle nostre indagini?
Alessio L.R. Pennasilico - [email protected]
12
Siti di whistleblowing
WikiLeaks
GlobalLeaks
Alessio L.R. Pennasilico - [email protected]
13
Tor
Alessio L.R. Pennasilico - [email protected]
14
Tails: non lasciare tracce
Realizzare l’anonimato?
Alessio L.R. Pennasilico - [email protected]
15
Per maggiore comodità...
The Tor Browser lets you use Tor on Windows, Mac OS X, or Linux
without needing to install any software. It can run off a USB flash drive,
comes with a pre-configured web browser to protect your anonymity,
and is self-contained (portable).
https://www.torproject.org/projects/torbrowser.html.en
Alessio L.R. Pennasilico - [email protected]
16
Da cartolina a cassaforte
s/MIME
PGP/GPG
...
Alessio L.R. Pennasilico - [email protected]
17
SMS?
Telegram
Signal
ChatSecure
Skype??
Alessio L.R. Pennasilico - [email protected]
18
People first
Social Engineering
“... the social engineer is able to take advantage of people to obtain
information with or without the use of technology.”
Kevin Mitnick, The Art of Deception
Alessio L.R. Pennasilico - [email protected]
20
Informazioni pubbliche
Alessio L.R. Pennasilico - [email protected]
21
Non sempre complete
Alessio L.R. Pennasilico - [email protected]
22
Internet evolve...
La censura incalza...
La cache permane...
Alessio L.R. Pennasilico - [email protected]
23
E piccoli trucchetti?
Chi di voi non ha mai usato
una identità alternativa su Internet?
(FB? Badoo? Linkedin?)
Alessio L.R. Pennasilico - [email protected]
24
Una catena è tanto forte...
Saper ricostruire lo scenario, le relazioni
ed intervenire su obiettivi “trascurabili”
spesso tramite vettori secondari
produce risultati inimmaginabili
Alessio L.R. Pennasilico - [email protected]
25
Mind Mapping
The Brain
FreeMind
XMind
MindJet
Maltego
Alessio L.R. Pennasilico - [email protected]
26
OSINT / HUMINT
prodotta dalle informazioni pubblicamente disponibili che sono raccolte,
sfruttate e diffuse in modo tempestivo presso un pubblico appropriato
allo scopo di soddisfare uno specifico requisito di intelligence
l’utilizzo dell’elemento umano quale strumento di acquisizione di
informazioni direttamente “sul campo”
(Virtual HUMINT?)
Alessio L.R. Pennasilico - [email protected]
27
Fare alcune prove...
Alessio L.R. Pennasilico - [email protected]
28
Exif
Anteprime
coordinate GPS
Data e ora
...
Alessio L.R. Pennasilico - [email protected]
29
Investigatori informatici
Alessio L.R. Pennasilico - [email protected]
30
Ciò che è non è digitale...
Impostazioni privacy
Alessio L.R. Pennasilico - [email protected]
32
Case History
Forza Chiara da Perugia
Alessio L.R. Pennasilico - [email protected]
33
The Internet Archive
Alessio L.R. Pennasilico - [email protected]
34
SEO
“Pagina 2 della ricerca di Google
è il Molise di Internet”
cit. da FB
Alessio L.R. Pennasilico - [email protected]
35
La giusta immagine di se
Carola Frediani
Fabio Chiusi
Alessio L.R. Pennasilico - [email protected]
36
Fact Checking
il tam tam delle bufale
La satira spesso
è indistinguibile dalla realtà:
http://www.lercio.it/
http://www.theonion.com/
Alessio L.R. Pennasilico - [email protected]
38
Se migliaia di mosche...
Alessio L.R. Pennasilico - [email protected]
39
Dove controllare?
http://attivissimo.blogspot.it/
http://bufalopedia.blogspot.it/
http://www.snopes.com/
Alessio L.R. Pennasilico - [email protected]
40
Perché occuparsi di Security?
Quanta attenzione...
Alessio L.R. Pennasilico - [email protected]
42
Economia “digitale”
Alessio L.R. Pennasilico - [email protected]
43
Quel che succede su Internet
influenza la “realtà”
Alessio L.R. Pennasilico - [email protected]
44
Ci attaccano per questo?
Alessio L.R. Pennasilico - [email protected]
45
Identity theft: solo uno scherzo?
Danni economici
Danni di immagine
Ripercussioni sul credito
Difficile da dimostrare
Strascichi lunghissimi
Alessio L.R. Pennasilico - [email protected]
46
Cosa dobbiamo affrontare?
Ogni anno
durante il Security Summit di Marzo a Milano
Clusit presenta un rapporto
su cosa è accaduto nell’anno precedente
e cosa ci si aspetta dall’anno in corso
Alessio L.R. Pennasilico - [email protected]
47
Io sono preoccupato
Alessio L.R. Pennasilico - [email protected]
48
Cosa emerge?
Non importa chi sei
Non importa cosa fai
Non importa con cosa lo fai
Ti attaccheranno
E se non ti sarai protetto in modo adeguato subirai dei danni
Alessio L.R. Pennasilico - [email protected]
49
Tutti vengono colpiti
Alessio L.R. Pennasilico - [email protected]
50
Alessio L.R. Pennasilico - [email protected]
51
Botnet
Infetto il maggior numero possibile di host
Li uso per fare spam, phishing, spit, vishing, DDoS
Le affitto a chi vuole gestire da se le stesse attività
Avendo il controllo del PC non mi costa nulla cercare dati personali
Alessio L.R. Pennasilico - [email protected]
52
Io sono preoccupato
Alessio L.R. Pennasilico - [email protected]
53
Trend?
Aumentano i tentativi di intrusione
Tra i tentativi aumentano quelli andati a buon fine
Ad ogni intrusione perdiamo sempre più denaro
Alessio L.R. Pennasilico - [email protected]
54
Alessio L.R. Pennasilico - [email protected]
55
Aumento dei Black Swan
Alessio L.R. Pennasilico - [email protected]
56
Io sono preoccupato
Alessio L.R. Pennasilico - [email protected]
57
Malware
Parlare di virus è oramai obsoleto
Le minacce sono molte e diversificate
Lo scopo è nascondersi...
Spyware, Worm, Trojan, Backdoor, Key Logger
Alessio L.R. Pennasilico - [email protected]
58
Ransomware
Ti cripto tutti i dati
e chiedo il riscatto per dati la chiave
per poterli consultare di nuovo
Alessio L.R. Pennasilico - [email protected]
59
17 Novembre 2013
http://thehackernews.com/2013/11/Cryptolocker-Ransomware-spam-emails-campaign-ten-million-users.html
22 Novembre
http://thehackernews.com/2013/11/us-police-department-pays-750-ransom-to.html
12.000 device infetti x $ 750 = $ 9.000.000
5% di 10.000.000 x $ 750 = $ 375.000.000
Alessio L.R. Pennasilico - [email protected]
60
Cryptolocker Mobile?
https://nakedsecurity.sophos.com/2014/06/06/cryptolocker-wannabe-simplelocker-android/
Alessio L.R. Pennasilico - [email protected]
61
Jargon file
hacker: n.
1. A person who enjoys exploring the details of
programmable systems and how to stretch their
capabilities, as opposed to most users, who prefer to
learn only the minimum necessary. RFC1392, the
Internet Users' Glossary, usefully amplifies this as: A
person who delights in having an intimate
understanding of the internal workings of a system,
computers and computer networks in particular.
Alessio L.R. Pennasilico - [email protected]
62
Chi vuole le informazioni?
La criminalità organizzata
ha capito da tempo che
con “quelli dei computer”
è possibile gestire truffe
estremamente redditizie
Alessio L.R. Pennasilico - [email protected]
63
Conclusioni
Io sono preoccupato
Alessio L.R. Pennasilico - [email protected]
65
Trovare le informazioni è difficile
Tutelare le informazioni è difficile
Alessio L.R. Pennasilico - [email protected]
66
Gli strumenti sono molti:
individuare ed utilizzare quelli corretti fa differenza
Alessio L.R. Pennasilico - [email protected]
67
Le persone sono imprescindibili
sia nella tutela che nella ricerca
delle informazioni
Alessio L.R. Pennasilico - [email protected]
68
Il problema tutela dei dati
è e sarà sempre più grave.
Conoscerlo e gestirlo è indispensabile
Alessio L.R. Pennasilico - [email protected]
69
Grazie dell’attenzione!
Domande?
Alessio L.R. Pennasilico
[email protected]
twitter: mayhemspp - FaceBook: alessio.pennasilico - linkedin:alessio.pennasilico
Security Summit
Verona, 1 Ottobre
Hotel Crown Plaza
Alessio L.R. Pennasilico - [email protected]
71
Aumentando la consapevolezza!
Fiction
Tecnicamente corretta
Per creare consapevolezza
Alessio L.R. Pennasilico - [email protected]
72
Fly UP