C`è una guerra là fuori e non vincerà chi ha più pallottole
by user
Comments
Transcript
C`è una guerra là fuori e non vincerà chi ha più pallottole
C’è una guerra là fuori e non vincerà chi ha più pallottole Minacce cyber e social network: rischi e utilizzo Alessio L.R. Pennasilico [email protected] $whois -=mayhem=- Security Evangelist @ Committed: AIP Associazione Informatici Professionisti CLUSIT, Associazione Italiana per la Sicurezza Informatica IISFA, Italian Linux Society, Metro Olografix Sikurezza.org, Spippolatori .... Alessio L.R. Pennasilico - [email protected] 2 Research Programs CRISTAL Critical Infrastructure Security and Test Analysis Lab Childhood ITSec Awareness Permanent Program Alessio L.R. Pennasilico - [email protected] 3 L’importanza delle informazioni Alessio L.R. Pennasilico - [email protected] 4 Etica E’ giusto fare tutto quel che posso fare? Ha a che fare con la tecnologia? Alessio L.R. Pennasilico - [email protected] 5 Il mantra della security: CIA Riservatezza Integrità Disponibilità Alessio L.R. Pennasilico - [email protected] 6 Premessa IP Ogni computer ha un identificativo unico: l’Indirizzo IP Alessio L.R. Pennasilico - [email protected] 8 IP Per chi gestisce un servizio può identificare una persona una azienda un Internet provider può determinare luogo fisico e dare svariate altre informazioni Alessio L.R. Pennasilico - [email protected] 9 Log I servizi a cui accediamo tracciano chi si collega e cosa fa L’archivio da tali informazioni si chiama log repository Questo archivio può contenere giorni, settimane, mesi o anni di storia... Alessio L.R. Pennasilico - [email protected] 10 Anonimato E’ possibile sapere chi sta “indagando” su di noi? E’ possibile nascondere la propria identità? Alessio L.R. Pennasilico - [email protected] 11 Crittografia Una e-mail a cosa assomiglierebbe di più nel mondo analogico? Ad una lettera o ad una cartolina? e WhatsApp? le chat di FB? gli SMS? Che garanzie di riservatezza per noi e per le nostre fonti e per gli oggetti delle nostre indagini? Alessio L.R. Pennasilico - [email protected] 12 Siti di whistleblowing WikiLeaks GlobalLeaks Alessio L.R. Pennasilico - [email protected] 13 Tor Alessio L.R. Pennasilico - [email protected] 14 Tails: non lasciare tracce Realizzare l’anonimato? Alessio L.R. Pennasilico - [email protected] 15 Per maggiore comodità... The Tor Browser lets you use Tor on Windows, Mac OS X, or Linux without needing to install any software. It can run off a USB flash drive, comes with a pre-configured web browser to protect your anonymity, and is self-contained (portable). https://www.torproject.org/projects/torbrowser.html.en Alessio L.R. Pennasilico - [email protected] 16 Da cartolina a cassaforte s/MIME PGP/GPG ... Alessio L.R. Pennasilico - [email protected] 17 SMS? Telegram Signal ChatSecure Skype?? Alessio L.R. Pennasilico - [email protected] 18 People first Social Engineering “... the social engineer is able to take advantage of people to obtain information with or without the use of technology.” Kevin Mitnick, The Art of Deception Alessio L.R. Pennasilico - [email protected] 20 Informazioni pubbliche Alessio L.R. Pennasilico - [email protected] 21 Non sempre complete Alessio L.R. Pennasilico - [email protected] 22 Internet evolve... La censura incalza... La cache permane... Alessio L.R. Pennasilico - [email protected] 23 E piccoli trucchetti? Chi di voi non ha mai usato una identità alternativa su Internet? (FB? Badoo? Linkedin?) Alessio L.R. Pennasilico - [email protected] 24 Una catena è tanto forte... Saper ricostruire lo scenario, le relazioni ed intervenire su obiettivi “trascurabili” spesso tramite vettori secondari produce risultati inimmaginabili Alessio L.R. Pennasilico - [email protected] 25 Mind Mapping The Brain FreeMind XMind MindJet Maltego Alessio L.R. Pennasilico - [email protected] 26 OSINT / HUMINT prodotta dalle informazioni pubblicamente disponibili che sono raccolte, sfruttate e diffuse in modo tempestivo presso un pubblico appropriato allo scopo di soddisfare uno specifico requisito di intelligence l’utilizzo dell’elemento umano quale strumento di acquisizione di informazioni direttamente “sul campo” (Virtual HUMINT?) Alessio L.R. Pennasilico - [email protected] 27 Fare alcune prove... Alessio L.R. Pennasilico - [email protected] 28 Exif Anteprime coordinate GPS Data e ora ... Alessio L.R. Pennasilico - [email protected] 29 Investigatori informatici Alessio L.R. Pennasilico - [email protected] 30 Ciò che è non è digitale... Impostazioni privacy Alessio L.R. Pennasilico - [email protected] 32 Case History Forza Chiara da Perugia Alessio L.R. Pennasilico - [email protected] 33 The Internet Archive Alessio L.R. Pennasilico - [email protected] 34 SEO “Pagina 2 della ricerca di Google è il Molise di Internet” cit. da FB Alessio L.R. Pennasilico - [email protected] 35 La giusta immagine di se Carola Frediani Fabio Chiusi Alessio L.R. Pennasilico - [email protected] 36 Fact Checking il tam tam delle bufale La satira spesso è indistinguibile dalla realtà: http://www.lercio.it/ http://www.theonion.com/ Alessio L.R. Pennasilico - [email protected] 38 Se migliaia di mosche... Alessio L.R. Pennasilico - [email protected] 39 Dove controllare? http://attivissimo.blogspot.it/ http://bufalopedia.blogspot.it/ http://www.snopes.com/ Alessio L.R. Pennasilico - [email protected] 40 Perché occuparsi di Security? Quanta attenzione... Alessio L.R. Pennasilico - [email protected] 42 Economia “digitale” Alessio L.R. Pennasilico - [email protected] 43 Quel che succede su Internet influenza la “realtà” Alessio L.R. Pennasilico - [email protected] 44 Ci attaccano per questo? Alessio L.R. Pennasilico - [email protected] 45 Identity theft: solo uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi Alessio L.R. Pennasilico - [email protected] 46 Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell’anno precedente e cosa ci si aspetta dall’anno in corso Alessio L.R. Pennasilico - [email protected] 47 Io sono preoccupato Alessio L.R. Pennasilico - [email protected] 48 Cosa emerge? Non importa chi sei Non importa cosa fai Non importa con cosa lo fai Ti attaccheranno E se non ti sarai protetto in modo adeguato subirai dei danni Alessio L.R. Pennasilico - [email protected] 49 Tutti vengono colpiti Alessio L.R. Pennasilico - [email protected] 50 Alessio L.R. Pennasilico - [email protected] 51 Botnet Infetto il maggior numero possibile di host Li uso per fare spam, phishing, spit, vishing, DDoS Le affitto a chi vuole gestire da se le stesse attività Avendo il controllo del PC non mi costa nulla cercare dati personali Alessio L.R. Pennasilico - [email protected] 52 Io sono preoccupato Alessio L.R. Pennasilico - [email protected] 53 Trend? Aumentano i tentativi di intrusione Tra i tentativi aumentano quelli andati a buon fine Ad ogni intrusione perdiamo sempre più denaro Alessio L.R. Pennasilico - [email protected] 54 Alessio L.R. Pennasilico - [email protected] 55 Aumento dei Black Swan Alessio L.R. Pennasilico - [email protected] 56 Io sono preoccupato Alessio L.R. Pennasilico - [email protected] 57 Malware Parlare di virus è oramai obsoleto Le minacce sono molte e diversificate Lo scopo è nascondersi... Spyware, Worm, Trojan, Backdoor, Key Logger Alessio L.R. Pennasilico - [email protected] 58 Ransomware Ti cripto tutti i dati e chiedo il riscatto per dati la chiave per poterli consultare di nuovo Alessio L.R. Pennasilico - [email protected] 59 17 Novembre 2013 http://thehackernews.com/2013/11/Cryptolocker-Ransomware-spam-emails-campaign-ten-million-users.html 22 Novembre http://thehackernews.com/2013/11/us-police-department-pays-750-ransom-to.html 12.000 device infetti x $ 750 = $ 9.000.000 5% di 10.000.000 x $ 750 = $ 375.000.000 Alessio L.R. Pennasilico - [email protected] 60 Cryptolocker Mobile? https://nakedsecurity.sophos.com/2014/06/06/cryptolocker-wannabe-simplelocker-android/ Alessio L.R. Pennasilico - [email protected] 61 Jargon file hacker: n. 1. A person who enjoys exploring the details of programmable systems and how to stretch their capabilities, as opposed to most users, who prefer to learn only the minimum necessary. RFC1392, the Internet Users' Glossary, usefully amplifies this as: A person who delights in having an intimate understanding of the internal workings of a system, computers and computer networks in particular. Alessio L.R. Pennasilico - [email protected] 62 Chi vuole le informazioni? La criminalità organizzata ha capito da tempo che con “quelli dei computer” è possibile gestire truffe estremamente redditizie Alessio L.R. Pennasilico - [email protected] 63 Conclusioni Io sono preoccupato Alessio L.R. Pennasilico - [email protected] 65 Trovare le informazioni è difficile Tutelare le informazioni è difficile Alessio L.R. Pennasilico - [email protected] 66 Gli strumenti sono molti: individuare ed utilizzare quelli corretti fa differenza Alessio L.R. Pennasilico - [email protected] 67 Le persone sono imprescindibili sia nella tutela che nella ricerca delle informazioni Alessio L.R. Pennasilico - [email protected] 68 Il problema tutela dei dati è e sarà sempre più grave. Conoscerlo e gestirlo è indispensabile Alessio L.R. Pennasilico - [email protected] 69 Grazie dell’attenzione! Domande? Alessio L.R. Pennasilico [email protected] twitter: mayhemspp - FaceBook: alessio.pennasilico - linkedin:alessio.pennasilico Security Summit Verona, 1 Ottobre Hotel Crown Plaza Alessio L.R. Pennasilico - [email protected] 71 Aumentando la consapevolezza! Fiction Tecnicamente corretta Per creare consapevolezza Alessio L.R. Pennasilico - [email protected] 72