1. Security by example
Alessandro `jekil` Tanasi
alessandro@tanasi.it
http://www.lonerunners.net
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
2. Chi vi parla?
Consulente
●
Penetration tester
●
Forenser
●
Sviluppatore di software per il vulnerability
●
assessment
Ricercatore nel campo IT security
●
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
3. Esempio
Vogliamo creare una società che offra un
➔
servizio web tramite il proprio sito internet
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
4. Realizzazione..
Aspetti burocratici, fiscali e amministrativi
●
Sistemi e infrastrutture
●
Network e connettività
●
Servizi e hardware
●
Ciclo di vita del software
●
Analisi
●
Progetto
●
Implementazione
●
Collaudo
●
Manutenzione
●
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
7. Sicurezza..
La sicurezza è un processo non un prodotto
●
Il livello di sicurezza è dato dalla sicurezza
●
dell'elemento più debole
Ogni livello deve esser messo in sicurezza
●
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
9. Sicurezza Fisica
Perchè ricorrere a una complicata violazione informatica
quando quello che ci serve è appoggiato su una scrivania?
Password su post-it
●
Documenti cestinati
●
Documenti visibili
●
Eccessi di fiducia
●
Terminali accesi
●
senza utenti
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
10. Prevenzione
Controllo dell'accesso ai locali, policy
●
(regole) di accesso
Trattare nel modo dovuto i documenti (ad
●
es. in cartelline)
Non lasciare informazioni nei rifiuti
●
Attenzione a come vengono portati dati
●
fuori dall'ufficio
Porre attenzione ai piccoli dettagli dei
●
computer (segni di scasso)
Prevenzione di incendi, allagamenti ecc.
●
..e molto altro..
●
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
12. Sicurezza dell'infrastruttura
Sistemi vengono installati e abbandonati
●
Utilizzo di configurazioni di default
●
Ambienti di test diventano sistemi di
●
produzione
Adozione di tecnologie obsolete o insicure
●
Parti dell'infrastruttura raggiungibile e
●
esposta
Mancanza di filtraggio dei flussi di rete
●
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
13. Prevenzione
Hardening dei sistemi operativi e dispositivi
●
di rete
Definizione di policy per l'uso e gli accessi
●
Applicazione di access lists e AAA
●
Aggiornamenti costanti
●
Utilizzo di sistemi di intrusion detection
●
Vulnerability assessment periodici
●
Defense in depth
●
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
16. Sicurezza dei sistemi
Vulnerabilità server side
●
Vulnerabilità client side
●
Configurazioni errate
●
....ecc... ecc...
●
Ma quanti sono in grado di accorgersi che il
●
proprio sistema è stato compromesso?
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
17. Prevenzione
Patch plan
●
Limitare l'esposizione dei servizi
●
Sistemi di sicurezza proattiva
●
HIDS
●
Sensibilizzazione degli utenti e adozione di
●
policy
Spesso non è un problema tecnologico ma
●
umano
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
19. Sicurezza applicativa
Analisi e progettazione fatta male e in fretta
●
Non utilizzo di best practices nello sviluppo
●
Errori di programmazione(bug)
●
Diffusione di virus e worm
●
Accesso non autorizzato a sistemi
●
Furto di dati
●
Abuso di sistemi e risorse
●
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
20. Applicazioni sicure
Utilizzo di tecnologie adeguate e loro corretto
●
impiego
Utilizzo di crittografia e autenticazione forte
●
se necessario
Introduzione di un processo di testing e
●
auditing nello sviluppo
Introduzione di metriche di collaudo per
●
l'acquisizione di nuove applicazioni
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
22. Monitoraggio e manutenzione
Senza monitoraggio non si ha conoscenza di
●
ciò che accade
Monitoraggio a tutti i livelli (rete, sistemi e
●
applicazioni)
Monitoraggio di:
●
Traffico
●
Accessi
●
Sorgenti dati
●
Uso delle applicazioni
●
Manutenzione e aggiornamenti periodici
●
dell'infrastuttura e delle applicazioni
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
23.
24. Lo stato dell'arte della security
Richiede che la sicurezza sia introdotta fin
●
dalla progettazione, pena un totale ridisegno
E' una proprietà di vari livelli architetturali
●
E' dispendiosa in termini di risorse,
●
procedure, gestione e mentalità
Rimane un problema da affrontare per ogni
●
tipo di azienda
Quindi la sicurezza non è un predicato
●
booleano
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it
25. Conclusione
La sicurezza va afforntata a tutti i livelli
●
Infrastrutturali
●
Nel ciclo di vita di un software
●
Il suo stato deve essere monitorato e
●
mantenuto all'interno di un processo
aziendale
La sicurezza è composta da:
●
Prodotti e tecnologie
●
Procedure e processi
●
Fattore umano (esperienza!)
●
LUG
Trieste
Alessandro Tanasi - alessandro@tanasi.it