SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau milano 2013 marco bozzetti
1. Milano, 24 ottobre 2013
IL FENOMENO DEGLI ATTACCHI INFORMATICI IN
ITALIA: CONSIDERAZIONI E SUGGERIMENTI
DAI PRIMI DATI EMERSI DA OAI 2013
M. R. A. Bozzetti
CD e Coms Officer AIPSI
CEO Malabo Srl (www.malaboadvisoring.it )
3. Marco R.A. Bozzetti
• 1973 Laurea in Ingegneria elettronica al Politecnico di Milano
• 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN,
prima rete europea di ricerca (tipo ARPA) a commutazione di pacchetto
• 1976-80 Olivetti R&D – Ivrea:Responsabile ONE, Olivetti Network
Environment, e comitati standard ISO, CCITT (ora ITU-C) , ECMA
(chairman VFS)
• 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 198284 Italtel Telematica : responsabile pianificazione strategica
• 1984-87 Arthur Andersen Management Consultants
• 1987-91 fondatore e Partner Ibimaint System Engineers
• 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza
• 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET
• 1995-2000 CIO Gruppo ENI
• 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab
• Dal 2001 Fondatore e Amministratore Unico Malabo Srl
• FTI, Forum delle Tecnologie dell’Informazione (fondatore)
• EITO, European Information Technology Observatory ( Coideatore e Chief Scientist)
• ClubTI di Milano (Past President)
• FidaInform, Federazione Italiana delle Associazioni
Professionali di Information Management (Past President)
• AIPSI-ISSA, Consiglio Direttivo
4. AIPSI: www.aipsi.org
AIPSI - Capitolo Italiano di ISSA ®
Associazione di singoli professionisti
Oltre 13.000 esperti in tutto il mondo
Per richiedere l’iscrizione:
http://www.aipsi.org/come-associarsi.html
Codice etico: http://www.issa-italy.org/aipsi_codice_etico.pdf
Statuto: http://www.issa-italy.org/statuto_aipsi.pdf
5. Chi e’ ISSA
•ISSA®, con l’attiva partecipazione dei singoli soci e dei relativi
capitoli in tutto il mondo, è la più grande associazione non-profit
di professionisti della sicurezza.
• L’organizzazione di forum educativi, la redazione di documenti e
pubblicazioni oltre all’interazione fra i vari professionisti della
sicurezza contribuiscono ad incrementare la conoscenza e la
crescita professionale.
• I soci sono professionisti nel campo della sicurezza a tutti i livelli
nei vari settori delle telecomunicazioni, formazione, sanità,
finance, industria e government
6. Obiettivi AIPSI
Organizzazione di forum educativi
Redazione di documenti e pubblicazioni specializzate
Interscambio di esperienze fra i professionisti del settore (nazionali e
internazionali)
Riferimento per la ricerca di professionisti di sicurezza ICT
Interazione con altre organizzazioni professionali
Rilascio di attestati e certificazioni specifiche (Eucip. LocSI)
7. Attacchi:
i dati più interessanti
emersi dal
Rapporto OAI 2012
e da altri Rapporti
8. Siamo sempre
potenzialmente sotto
attacco … anche se siamo
una PMI, uno studio
professionale, un esercizio
commerciale , …
04/27/08
5 8
8
Copyright 2008 - Trend Micro Inc.
9. Sicurezza vo cercando ….
irla
t
es
g
Sistemi informativi
aziendali e delle PA
Consumerizzazione
Ambiente
lavoro
DCS
e
te
is
Servizi ICT
Servizi ICT
in cloud e/o
in cloud e/o
terziarizzati
terziarizzati
as
L
z
ez
r
cu
i
a
T
IC
Social network
d
se
è
più
e
pr
m
o
ss
ple + mobile
Fisso
om
c
Inte es
n e
ornInternet
t d
an
elle
lut
o
cos
ss
e
a
Ambiente
personale
VDS, PLC, A/D Conv.
10. OAI, Osservatorio Attacchi Informatici in Italia
• Che cosa è
– Indagine annuale sugli attacchi ai Sistemi Informativi di Aziende e
Pubbliche Amministrazioni in Italia condotta attraverso un
questionario on-line indirizzo a CIO, CISO, CSO ed alle terze parti
(fornitori, consulenti) che gestiscono la sicurezza informatica
• Gli ideatori e realizzatori
Marco R. A. Bozzetti
Alessandro Betti
11. Obiettivi OAI
•
Avere cadenza periodica annuale
•
Coinvolgere tutte le Associazioni e gli Enti coinvolti e/o interessati nella
sicurezza informatica
•
Divenire uno strumento di ausilio nell’Analisi del Rischio ed il punto di
riferimento nazionale sulla sicurezza ICT, analogamente a quanto
avviene con il Rapporto CSI statunitense
•
Far conoscere e sensibilizzare i vertici delle Aziende/Enti sui problemi
della sicurezza ICT
•
Che cosa non è e non vuole essere OAI :
– Un’indagine criminologica estesa a tutti i crimini informatici (es.
pornografia e pedofilia elettronica, pirateria prodotti software, ecc.)
– Uno studio accademico
– Un’indagine di mercato
12. I Rapporti OAI annuali
Rapporto OAI 2012, di 48 pagine A4, fa il punto sugli
attacchi informatici in Italia rilevati nel 2010, 2011 ed il 1°
quadrimestre 2012
Rapporto OAI 2011, di 36 pagine A4, fa il punto sugli
attacchi informatici in Italia rilevati nel 2009 e nel 1°
quadrimestre 2010
Rapporto OAI 2009-10, di 46 pagine A5, fa il
punto sugli attacchi informatici in Italia rilevati nel
2007, nel 2008 e nel 1° quadrimestre 2009
13. Altre iniziative OAI
• Da marzo 2010 sulla rivista Office Automation tengo una rubrica
fissa mensile per OAI sugli attacchi informatici, con un taglio più
manageriale che tecnico.
– disponibili in formato elettronico: www.malaboadvisoring.it,
www.soiel.it
• Gruppo OAI su LinkedIn
14. La tassonomia degli attacchi considerata
1) Accesso e uso non autorizzato degli elaboratori, delle applicazioni supportate e delle relative
informazioni
2) Modifiche non autorizzate ai programmi applicativi e di sistema, alle configurazioni ecc.
3) Modifiche non autorizzate ai dati e alle informazioni
4) Utilizzo codici maligni (malware) di varia natura, quali virus, Trojan horses, Rootkit, bots, exploits,
sia a livello di posto di lavoro che di server
5) Utilizzo vulnerabilità del codice software, sia a livello di posto di lavoro che di server: tipici esempi
back-door aperte, SQL injection, buffer overflow ecc.
6) Saturazione risorse informatiche e di telecomunicazione: oltre a DoS (Denial of Service) e DDoS
(Distributed Denial of Service), si includono in questa classe anche mail bombing, catene di S.
Antonio informatiche, spamming ecc.
7) Furto di apparati informatici contenenti dati (laptop, hard disk, floppy, nastri, chiavette USB ecc.)
8) Furto di informazioni o uso illegale di informazioni
a) da dispostivi mobili (palmari, cellulari, laptop)
b) da tutte le altre risorse
9) Attacchi alle reti, fisse o wireless, e ai DNS, Domain Name System
10) Frodi tramite uso improprio o manipolazioni non autorizzate e illegali del software applicativo (ad
esempio utilizzo di software pirata, copie illegali di applicazioni ecc.)
11) Attacchi di Social Engineering e di Phishing per tentare di ottenere con l’inganno (via telefono, email, chat ecc.) informazioni riservate quali credenziali di accesso e il furto d’identità digitale
12) Ricatti sulla continuità operativa e sull’integrità dei dati del sistema informativo (ad esempio se non
paghi attacco il sistema e ti procuro danni, magari con dimostrazione delle capacità di attacco e di
danno conseguente…)
13) Altri tipi di attacco, quali ad esempio attacchi di tipo misto (Blended threat), sabotaggi,
vandalismi con distruzione di risorse informatiche
14) TA , Targeted Attacks e APT, Advanced Persistent Threat
15. I trend per gli attacchi
•
Motivazioni:
– Hactivism: aspetti di protesta e politici, soprattutto per i paesi con
governi dittatoriali o autoritari (Sud mediterraneo, Paesi arabi, ecc.)
– Timori per una crescita di attacchi ICT di tipo terroristico (blocco e/o
malfunzionamento infrastrutture critiche …)
– Crescita attacchi per spionaggio (anche industriale)
– Consolidamento crescita attacchi per frodi (ordine di B $,€/anno)
• ROI attacchi > 750%/mese
•
•
•
•
•
•
•
•
Crescita rischi e vulnerabilità nei sistemi “mobili”
APT, Advanced Persistent Threat
da “Aurora” a Flame e Lucycat
Offuscamento (Obfuscation) delle attività dell’attaccante
Proxy anonimi
Sottrazione dati
focalizzazione sui contenuti
Crescita dei siti “buoni” (affidabili) con collegamenti a siti maligni
Frodi e ricatti
Disponibilità DIY Kit per la creazione di codici maligni e botnet sempre più
facili da usare e poco costosi
16. Le cause delle crescenti minacce
•
Tutte le minacce si basano sulle vulnerabilità tecniche e/o umane-organizzative
– Vulnerabilità tecniche (software di base e applicativo, architetture e
configurazioni)
• siti web e piattaforme collaborative
• Smartphone e tablette
mobilità
>>14.000 malware
• Posta elettronica
spamming e phishing
• Piattaforme e sistemi virtualizzati
• Terziarizzazione e Cloud (XaaS)
• Circa il 40% o più delle vulnerabilità non ha patch di correzione
– Vulnerabilità delle persone
• Social Engineering e phishing
• Utilizzo dei social network, anche a livello aziendale
– Vulnerabilità organizzative
•
•
•
•
•
•
•
Mancanza o non utilizzo procedure organizzative
Insufficiente o non utilizzo degli standard e delle best practices
Mancanza di formazione e sensibilizzazione
Mancanza di controlli e monitoraggi sistematici
Analisi dei rischi mancante o difettosa
Non efficace controllo dei fornitoriù
Limitata o mancante SoD, Separation of Duties
17. Targeted Attack (TA) e APT
•
I TA, chiamati anche targeted threat, sono una relativamente nuova
classe di attacchi informatici rivolta ad uno specifico obiettivo, o ad un
limitato numero di obbiettivi, basato sull’ uso di più strumenti di attacco
con lo scopo primario:
a) di ottenere informazioni riservate ed importanti
frodi, spionaggio
b) di seriamente compromettere funzionalità e disponibilità di un sistema
informatico o di una sua parte
c) di seriamente compromettere immagine, credibilità ed autorevolezza
dell’obbiettivo attaccato
•
Tipici obiettivi target: Pubbliche Amministrazioni, Banche ed Istituti
finanziari, grandi Corporazioni , infrastrutture nazionali ad alta criticità
•
Nell’ambito dei TA una sottoclasse (logica) è costituita dagli APT,
Advanced Persistent Threat attacco mirato ad uno specifico target,
usando molteplici e paralleli strumenti di attacco, persistenti per essere in
grado di analizzare le vulnerabilità esistenti e le possibilità di attacco
slow and low
•
Sia TA che APT richiedono grandi risorse e competenze
cyberwar
19. Esempi di TA e/o APT
•
•
•
•
•
•
•
2009-10 Operazione Aurora: attacco a Google (gmail) e ad altri giganti statunitensi dell’ICT
dalla Cina via vulnerabilità 0-day su IE e sul sw di controllo versioni codice di Google (Perforce)
2010 Stuxnet: attaccato il centro nucleare iraniano di Bushehr e altre infrastrutture critiche in
Cina, India, Indonesia, Pakistan
• Stuxnet è un codice maligno multicomponente tipo worm che infetta sistemi con
sistema operativo Windows, dal vecchio Windows 95 a Windows Server 2003, con
installato SIMATIC WinCC, il sistema Siemens per l’automazione dei sistemi SCADA.
• L’obiettivo del worm è prendere il totale controllo del sistema SCADA attaccato
2011 RSA: attacco a SecureID via spear phishing con Excel malevole che attivava codice
maligno Poison Ivy con funzionalità backdoor
2011 DigiNotar: CA olandese attaccata creando e diffondendo certificati digitali falsi nei
principali browser; un mese dopo è fallita
2012 Luckycat: campagna di attacchi in India, Giappone e Tibet ad industrie militari, energia,
aerospaziali, .. 90 attacchi compromettendo >233 server via TROJ_WIMMI, VBS_WIMMI,
botnet-C&C, Windows Management Instrumentation
2012 Flame: malware modulare e sofisticato di grandi dimensioni (+ 20 M) per ambienti
Windows focalizzato allo spionaggio informatico ed al furto di informazioni nei paesi
mediorientali
2012 Global Payments Inc: attacco per frode al suo sistema di pagamenti con POS e relative
carte di credito, pur essendo certificata PCI-DSS
– Costi del breach: 94 M$, di cui circa 36 M per la frode, il resto per riparare il danno