Difficoltà provata nelle infrastrutture di reti aziendali, è la mera incapacità di poter risolvere semplici fattori di rischio dovuti alla scorretta conoscenza dei livelli di Sicurezza, applicati sia all'ambiente di sviluppo (Integrated Development Environment) e sia al flusso dei servizi proposti. Con una tecnologia ormai immersa nell'era del Cloud Computing, questi fattori si sono visti amplificare l'esposizione alle minacce provenienti dalla Rete. In questo seminario, verranno analizzati i vari livelli di sicurezza e cercheremo di trovare alcune delle soluzioni a questi fattori diversificati. Gli argomenti trattati nel seminario sono:
- Dati e fattori di rischio negli ambienti di Sviluppo IDE
- Diversificazione negli ambienti di sviluppo
- Livelli e fasce di Sicurezza
- Minacce a riferimento
- Alcune soluzioni ai fattori di rischio
Seminario valido per formazione continua "Professionista Web" (Legge 4/2013) -- Associazione professionale IWA Italy
http://corsi.ipcop.pd.it
http://www.ipcopitalia.com
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud Computing
1. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE
nell'era del Cloud Computing
Andrea Patron
CEO IPCop Italia
http://www.ipcopitalia.com
2. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
ANDREA PATRON
http://www.andreapatron.com
CEO del sito IPCop Italia, la community dedicata
alla distribuzione Linux Firewall più usata al mondo.
Mi occupo di Informatica in generale ma nella
precisione:
• Sviluppo e Programmazione di progetti
Informatici attivi nel network e nelle reti delle
infrastrutture aziendali, ed applicazioni web in
generale, come Gestionali, CRM, CMS ecc.
• Amministrazione di sistemi ICT, concentrati al
Network, alla consulenza per le reti e servizi
dedicati
• Con Particolare attenzione alla sicurezza
informatica e di indagini forensi attraverso il
web
• Formazione ed E-Learning per gli attivisti del
settore.
Con quest'anno il 2014, fondo la mia esperienza e
le mie competenze nell'ICT in un periodo ormai
consolidato di 20 anni.
3. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
INTERNATIONAL WEBMASTERS
ASSOCIATIONhttp://www.iwa.it
Partecipazioni Internazionali
partecipazioni nazionali
IWA è un'associazione internazionale
professionale no profit con lo scopo di
fornire informazioni per i professionisti del
web e dell'ICT.
Oltre che a condividere tra i professionisti
informazioni ed esperienze e buone
pratiche lavorative. Chi espone il marchio
IWA è certo di garantire l'impegno e di
perseguire le regole Etico professionali
definite da IWA.
4. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Perché associarsi
INTERNATIONAL WEBMASTERS
ASSOCIATIONhttp://www.iwa.it
IWA è la prima associazione che dal 1996 raggruppa chi lavora nel web, sia nel
settore pubblico che privato. Obiettivo di IWA e creare una rete tra i soci, di
parteciparne all'evoluzione e divulgare conoscenze tramite i suoi soci con eventi ed
iniziative.
IWA Italy ha inoltre rilasciato i primi profili professionali (G3 Web Skill Profiles) in
linea con i dettami dell'agenda digitale europea e italiana ed ha avviato accordi di
collaborazione con realtà di tutela del lavoro. http://www.skillprofiles.eu
media partner
Con il supporto di
5. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
SCONTO PROMOZIONALE!!!
Quota speciale SMAU euro 50,00
Potrai ottenere uno sconto sulla quota associativa che
pagherai euro 50,00 anziché euro 65,00. Lo sconto vale sia
per i nuovi soci che per i rinnovi. Per usufruire dello sconto
usa in fase di registrazione o rinnovo il seguente
promocode:
SMAUPADOVA2014
http://www.iwa.it/join
6. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Cosa parleremo in questo seminario?
• Daremo una terminologia corretta al Cloud Computing
• Apriremo gli scenari Cloud delle Infrastrutture
aziendali.
• Analizzeremo una serie di Livelli di Sicurezza
dell’infrastruttura.
• Ne annoteremo le vulnerabilità specificando le minacce.
• Daremo delle soluzioni generali a queste minacce.
• Vedremo come strutturare l’ambiente di sviluppo
attraverso l’analisi di questi livelli di sicurezza.
• Tracceremo alcune delle risposte e soluzioni per rendere la
nostra attività redditizia.
7. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Viviamo nell’era del Cloud Computing
Negli scorsi seminari avevo tracciato un semplice schema di linea temporale
dell'evoluzione di Internet. Fino a raggiungere il tempo attuale.
19701960
Continua >>
Nasce
ARPANET
Rete a scopo
militare
Diffusione ed altre
Reti Private
Internet è nata circa negli anni '60, durante la Guerra
fredda, all'epoca si chiamava ARPANet (Advanced Research
Projects Agency) ed era strutturata a nodi, esclusivamente
dislocata in USA per scopi militari e non altro.
8. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Viviamo nell’era del Cloud Computing
Continua >>
1980 1990
BBS – Reti Private
Internet
via Dial-up e ISDN
in Italia
Reti Pubbliche
Primi Siti
Istituzionali
Con l'evoluzione tecnologica negli anni 70, e definitivamente nella prima metà degli anni 80, grazie alla
rivoluzione Informatica, ha trovato impiego in traffici di informazioni, presso le reti universitarie, dei
campus, per poi distribuirsi in organi più compiessi e legati all'amministrazione pubblica fino a
raggiungere poi cos' il nostro paese, anche per il Marketing e l'impression Brand.
9. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Viviamo nell’era del Cloud Computing
2000 2010
Espansione
Banda Larga
Avvento
WiFi
Internet
Mobile
Cloud
Computing
Data
Social
Networks
Poi arrivò la banda larga, la DSL, ed infine, si spera arrivi, la
Cablata e fibra Ottica. Fino ad arrivare a Reti più complesse
come il Clouding tuttora proiettato verso il Futuro.
10. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Ma che cos'è realmente questo Cloud Computing?
“In informatica con il termine inglese cloud computing
(in italiano nuvola informatica) si indica un insieme di
tecnologie che permettono, tipicamente sotto forma di un
servizio offerto da un provider al cliente, di
memorizzare/archiviare e/o elaborare dati (tramite CPU
o software) grazie all'utilizzo di risorse hardware/software
distribuite e virtualizzate in Rete in un'architettura tipica
client-server.”
“La correttezza nell'uso del termine è contestata da molti esperti: se queste
tecnologie sono viste da alcuni analisti come una maggiore evoluzione
tecnologica offerta dalla rete Internet.”
11. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Contestazione nel termine
Quindi c'è una contestazione di fondo, perché il Cloud, è si una
Evoluzione della Rete, ma alla fine si trasforma in una rimasticazione
di definizioni di servizi di Networking tipici, virtualizzati in Hardware e
Software.
Possiamo affermare che il Cloud non è
unicamente un “Deposito di Dati e
contenuti” al quale noi possiamo attingere
da qualsiasi risorsa o periferica, PC, Tablet,
Smartphone, ma si tratta nient'altro che di
una rimasticazione di comuni servizi già
in attivo da diverso tempo, concentrati in
ben noti sistemi Hardware e Software
Virtuali. Detto Cloud.
12. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Contestazione nel termine! La Citazione!
13. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Contestazione nel termine! La Citazione!
Secondo Richard Stallman la parola Cloud Computing è una rimasticazione di
termini Informatici, coniati da profili Manageriali, per avallare decisioni
di Marketing e di vendita nella rete informatica, valorizzando o meglio
camuffando altri servizi che effettivamente sono di Dominio Pubblico.
14. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Questo è il Cloud Computing?
Dropbox, iCloud, Adobe Cloud ecc.. e tanti altri servizi offerti dai più noti ISP
sono sempre in effetti “Servizi di Rete” dati a pagamento o a livello
promozionale, comunque a fini di controllo Merceologico.
15. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
I Server Virtuali, chiamti VPS, son sempre Cloud Computing
Si, ma la specifica parola server, sta a sottintendere che siete voi a redigere e
controllare tali servizi e attendibilità di quel server, indipendentemente dal
software che vi fanno utilizzare, come Plesk Cpannel o latri pannelli di controllo..
16. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Il Cloud Computing necessita di maggior controllo e sicurezza
Da quando son cresciuti ed evoluti, i servizi di Cloud, abbiamo visto impennare
gli attacchi informatici attraverso la rete, non solo quelli specifici, ma di tutti i
tipi.
14%
23% 22%
91%
100%
0
10
20
30
40
50
60
70
80
90
100
Crescita Attacchi Informatici al Clod Computing
Avvisi Vilnerabilità
Codice Corrotto, trojans,
Exploit, Rootkit
Furti Identità, password,
backdoors
Codice di sviluppo per
Miobile
Attacchi DDoS diretti ISP
Dati Cisco Annual Security Report 2014 basati su Security Intelligence Operations (SIO)
17. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
56,4%
43,6% Android
Tutti gli altri
Dispositivi
Il Cloud Computing necessita di maggior controllo e sicurezza
Dati Cisco Annual Security Report 2014 basati su Security Intelligence Operations (SIO)
Il Codice Mobile è il linguaggio di programmazione preso di mira più frequentemente
dai criminali informatici. I dati provenienti da Sourcefire, indicano come gli exploit
costituiscano la stragrande maggioranza (91%) degli indicatori di compromissione
(IOC). Dispositivi Android maggiormente sotto attacco.
18. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Controllo del Cloud Computing
Quando voi acquistate un servizio Cloud da un ISP, non ne possedete un vero
controllo, perché i vostri dati risiedono in un apparecchi non di vostra
competenza.
Ecco che il termine Controllo vi si
ritorce contro, e vede i vostri dati
sotto controllo da parte terzi, che in
realtà, non sono in grado di
mantenere il corretto sistema di
sicurezza.
I dati che avete salvato nella
“Nuvola” son realmente pubblici
e soggetti continuamente ad
attacchi, sia in via attiva che
passiva.
19. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Abbiamo già assistito a casi eclatanti di attacchi
Quindi il livello di vulnerabilità dei nostri dati nel Cloud è molto alto, e
tendenzialmente continuerà a salire. Inutile nascondere i fatti, partendo dalle non
recenti notizie di attacchi informatici al Cloud, tutte le più grandi multinazionali
son già state colpite.
20. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Cloud Computing Toccasana per lo sviluppatore
Usare il termine Cloud Computing, vuol dire si anche condividere dati nella
nuvola, ma importante è che questi dati siano circoscritti per un
utilizzo privato e non pubblico.
L'uso del Cloud Computing,
per gli sviluppatori è un
toccasana per organizzare
il proprio ambiente di
sviluppo, ma è opportuno
utilizzare accorgimenti
importanti nello sfruttamento
dello stesso.
21. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
VPS e Diversificazione = Cloud Computing
La struttura aziendale per quanto piccola o grande che sia, è sempre per forza
collegata alla Rete attraverso una sua rete privata.
L’importanza della
Diversificazione delle
reti nell'infrastruttura, per
aumentare il rendimento
aziendale ma soprattutto
la capacità di applicare il
controllo sulle stesse.
Questa regola è ancora
valida per il Cloud.
22. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Cloud Computing as free Technology
Buttiamo i classici comodati d'uso, cerchiamo di essere più indipendenti e
adottiamo il Cloud come reale evoluzione della rete. Sfruttiamo quindi la
virtualità dei servizi che ci vengono messi a disposizione e cominciamo a
produrre con il mostro Ambiente di Sviluppo.
23. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Optate per soluzioni Open Source
Usate l'Open Source come
tecnologia all'avanguardia. Solo
con l'Open Source sarete
comunque liberi da Licenze che vi
impediscono di muovermi in modo
proficuo, senza obblighi ne controlli
da parte terzi.
Solo così potete avere un controllo
diretto sui livelli di sicurezza della
vostra infrastruttura.
24. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Livelli di Sicurezza nell’Infrastruttura
Mostrando questo schema,
partendo dal basso
identificheremo e poi
successivamente
specificheremo, le minacce
associate per livello e
troveremo alcune delle
soluzioni per
controbatterle.
25. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Primo Livello Fisico - Minacce
E contrariamente a quanto si possa
pensare il furto degli HD o dei
macchinari stessi sono una minaccia
fisica reale, che molti non tengono in
considerazione.
26. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Primo Livello Fisico - Soluzione
Quindi l'utilizzo di un buon un sistema
di antifurto non è certo da escludere,
prendiamolo seriamente in
considerazione.
27. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Secondo Livello di Trasporto e Networking
I nostri servizi sono distribuiti attraverso
appropriati protocolli, all'interno di Reti. E per
private o meno che siano son sempre collegati a
internet attraverso il nostro ISP.
ISP Router
28. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Livello di Trasporto - Minacce
Tra le principali minacce troviamo attacchi
MITM. Se la nostra rete non è ben protetta
è perseguibile di connessioni provenienti
dall'esterno o da altri malintenzionati anche
via WiFi. MITM, sta proprio all'acronimo Man
In The Middle appunto, uomo che si
intromette nel mezzo.
E con strumenti di accurate
scansioni a Basso livello, sono
in grado di contenersi alla
nostra Rete e carpire tutti i dati
ed il traffico da essa generato.
Anche senza che noi ce ne
accorgiamo.
29. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Livello di Trasporto - Soluzione
Per affrontare questo tipo di minacce, l'unica soluzione è di dotarsi di un
apparecchio o anche servizio “Firewall UTM” ben strutturato per verificare,
controllare ed impedire intrusioni di questo tipo, meglio se a monte dell'intera
infrastruttura. Ovviamente se l'haker si trova internamente alla nostra struttura
qui dobbiamo agire in modo diverso.
30. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo
Questo è il livello più delicato dell'intera infrastruttura, si distribuisce in varie
reti non unicamente quella privata LAN, ma anche in quella pubblica DMZ o che
sia custodita per conto terzi. In questo livello le minacce da affrontare sono più
variegate, e variano in funzione dell'applicazione o servizio che si sta
utilizzando, su specifiche porte ICPM.
31. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo
Ad esempio, per il Web tra Browser e Server Web http si usa la porta 80, per il web
criptato la porta 443 Https, 3306 per MySql DB, 21 standard per l'FTP, 22 per i
servizi SSH e così via. Queste porte sono assegnate di default da un'organizzazione
internazionale (IANA) sulla base delle strutture delle applicazioni.
Porta 80
Porta 443
Porta 21
Servizio Server
Porta 22 Porta 3306
32. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo - Minacce
Sulla base di questa struttura, in questo particolare livello, gli hacker possono
portare tutti gli attacchi che vogliono utilizzando particolari strumenti per lo
scanning. Lo scanning è un processo di cicli di verifica o controllo, fatti sulla base
di Indirizzi di rete IP, che gli hacker usano per identificare porte aperte nella
nostra rete, consentendone quindi l'accesso ad altri tipi d'attacco, più a basso
livello. Molti di questi attacchi provengono dalla Rete Internet o Darknet (per
essere mantenuti anonimi), con accessi ai porte di maggiore utilizzo aperte di
default, quale FTP, condivisione protocolli, Database, ecc.
• Attacchi DDoS
• Phishing/Spam
• Trojans
• Virus
• Brute Force
• Scan port tought Bug
traking
33. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo - Soluzioni
Per chiudere le porte e quindi mantenere un flusso di traffico blindato è bene
utilizzare delle regole dettate da un Firewall (meglio se dotato anche di servizi
di filtraggio UTM sia per il traffico in entrata che in uscita), il che controllato da
noi, ci permette anche di monitorare ed affiancarne l'utilizzo per Servizi e le
applicazioni interessate.
34. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo - Soluzioni
Ad esempio sulle porte P2P, specifiche, usate da Torrent o Emule che siano, se
aperte si possono acconsentire maggiorante a tipi di attacchi di troyans
intrusion e malware. Lo stesso vale per i Browser, che in effetti rimangono gli
applicativi i più attaccati, poiché la porta 80 Web è quella maggiormente
utilizzata in vasta scala dai servizi.
35. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo - Soluzioni
Stesso vale per i Server Web ed Applications Web, dove si vede la porta 80
maggiormente utilizzata. Ci costringono a tenerla aperta perché il nostro sito o
applicazione possa operare in tranquillità, e qui ci porta alla comprensione del
quarto ed ultimo livello.
36. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo
Ultimo e cruciale livello che effettivamente dobbiamo tener maggiorante in
considerazione, perché si appoggia sulla base del nostro lavoro e sviluppo delle
applicazioni, cuore dell'infrastruttura.
37. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo
Qui entrano in gioco le corrette competenze degli sviluppatori, che non devono far
fronte ad una unica metodologia, ma con il diffondersi delle attuali tecnologie su
larga scala, vediamo il proliferare e soprattutto l'affiancamento di nuove
competenze e la diversificazione di altri profili professionali.
38. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo
Chiamarsi Webmaster o Web-designer, o Web-dev non ha alcun senso.
Perché ora come ora anche il sottoscritto benché nel corso degli anni abbia
acquisito una vasta esperienza sul campo, non può ricoprire ruoli e mansioni
uniformemente compattate in un unico profilo.
39. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo
Spesso quando si dice che “So Sviluppare... un sito, un'applicazione” lo si
attribuisce ad una competenza di sola programmazione, quando in realtà il profilo
deve essere a conoscenza di diversi linguaggi di programmazione, e alla fine non
si sa realmente che cosa gli compete realmente.
• Chi dice di Saper fare tutto
• Forse non sa
fare niente bene
40. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo
Dunque con il livello di sviluppo si tirano in ballo gli sviluppatori, perché è alla
creazione del codice che rimane l'ultima risorsa per gestire il livello di
protezione di un'applicazione. Gli sviluppatori si distinguono principalmente in 2
categorie:
Il Surfista L’incollatore
41. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Il Surfista
E' quello cui piace cavalcare
l'onda, non glie ne frega nulla di
quanto tempo impiegherà per
sviluppare un'applicazione perché
comunque è bravo e conosce
tutti i segreti di qualunque
codice.
Tanto che può permettersi di
scriverlo a mano con un
semplice editor di testo, senza
curarsi di che cosa gli si
presenterà davanti all'utente
finale.
Quarto Livello lo Sviluppo
42. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
L’Incollatore
Chiamato così perché non avendo piene
competenze di programmazione se non
mediocri, impiega pochissimo a
sviluppare un'applicazione perché gli
basta fare Copia e Incolla da un
altro codice sviluppato, o servirsi di
strumenti già pronti per ottenere il
risultato finale.
Spesso sfrutta programmi già pronti
Open Source per poi rivendere il suo
operato senza metterci un minimo di
fatica o competenza, ne curandosi di
che cosa si presenterà all'utente finale,
perché tanto è già sicuro di quello che
già gli risulterà dal programma.
Quarto Livello lo Sviluppo
43. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo
Quali tra queste 2 categorie funziona meglio?
Il Surfista L’incollatore
44. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo
Nessuna delle 2. Perché nessuna tiene diretto controllo del suo operato o quanto
meno ne ha veramente coscienza della sua reale mansione. Con l'evoluzione
dell'ICT, ormai per ottenere un risultato finale ottimale, occorrono più
competenze e gestione dei flussi di lavoro.
Il Surfista L’incollatore
45. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo - Minacce
Oltretutto questo livello di sicurezza è il
più vulnerabile agli attacchi. Se osserviamo
qui vediamo una lista di minacce più lunga
rispetto ai precedenti.
Ovviamente un'applicazione operando sulla
porta aperta risulta essere più soggetta
ad attacchi. Spetta quindi allo sviluppatore
adottare le soluzioni più efficaci, per
reprimere questo disagio.
• Code Injection.
• Malware code.
• Snif code.
• SQL Injection
• Brute force
• Rootkit
• Exploit
• Traceroute
• Furto d'identità
• Defacciamento siti
• Fake Commerce
(danni alle vendite)
• Altro
46. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo - Soluzioni
Soluzione ottimale è la comprensione e consolidare la competenza dello
sviluppatore, che deve mettersi in gioco per scrivere o modificare codice
pulito per non renderlo soggetto ad eventuali attacchi.
47. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo - Soluzioni
Quindi prima di tutto, acquisizione delle giuste competenze in merito al
codice da scrivere ma anche dalle soluzioni da adottare. Non basta inserire dei
campi modulo per poi inviarli ad un'email con un semplice pulsante.
48. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio pratico
Nello sviluppo di un'applicazione dove si deve mantenere un'area riservata,
l'utente deve effettuare il login tramite le proprie credenziali, oppure
effettuare la registrazione per ottenerle, per poter mandare feedback ai
contenuti.
49. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio pratico
Semplice direte voi, basta un modulo di Login, un modulo di registrazione e poi un
modulo di invio di contenuti. Ma come dev'essere scritto questo codice? Mi
basta usufruire di Plugin o di codice già scritto da terzi? Oppure riscriverlo a
mano impiegando la mia maestosa capacità nel linguaggio di
programmazione?
50. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio pratico
Se vogliamo tenere le distanze dalle minacce precedentemente elencate, è bene
partire dalla base di quei livelli elencati prima. La soluzione è semplice.
51. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio pratico
Partiamo dal livello applicazione, dobbiamo tener aperte le porte 80 per il
servizio Web e 3306 per la funzionalità della Base Dati (ok MySQL in questo
caso). Quindi intervenire sull'autorizzazione specifica di accesso a tali dati.
Porta 80 WebServer
Porta 3306 MySQL DB
52. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio pratico
Ora domandiamoci: ci siamo preoccupati che l'accesso sia garantito
esclusivamente al diretto interessato, e che nessun altro possa accedere alla
Base dati dall'esterno?
Porta aperta 3306 MySQL DB
Le minacce di Brute Force sono sempre in agguato.
53. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio pratico
Quindi, aprire e consentire accessi tramite autorizzazioni controllate ai servizi
necessari, benché le porte siano aperte.
Porta Chiusa 3306 accesso dati MySQL DB Bloccato
Accesso Dati Consentito
Regola Firewall
Porta aperta 80 Webapp
54. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio pratico
Ora abbiamo la porta 80 aperta doverosamente per il fruire del servizio Web. Nel
Nostro caso, il codice se non è scritto accuratamente, può risultare vulnerabile su
livello di Sviluppo, come abbiamo visto precedentemente ad attacchi SQL Injection
o Code Injection.
Porta aperta 80 Webapp
Exploit dei Dati causa Iniezione codice malevolo
55. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Che cos'è una SQL Injection?
E' un metodo di penetrazione nelle stringhe SQL dei Database, iniettando codice
malevolo, per ottenere accessi exploit, rootkit o tanti altri. Il principio si basa sulla
conoscenza approfondita delle scritture delle stringhe SQL, ecco un esempio
pratico di iniezione SQL.
Consideriamo la seguente query:
SELECT * FROM Tabella WHERE username='$user' AND password='$pass'
$user e $pass sono impostate dall'utente e supponiamo che nessun
controllo su di esse venga fatto. Vediamo cosa succede inserendo i
seguenti valori:
$user = ' or '1' = '1
$pass = ' or '1' = '1
La query risultante sarà:
SELECT * FROM Tabella WHERE username='' or '1' = '1'
AND password='' or '1' = '1'
56. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Che cos'è una SQL Injection?
Quindi se il codice non è scritto correttamente chiunque utilizzi i campi modulo
Username e Password, sarà in grado di Iniettare codice nell’elaborazione delle
Query.
Quindi i risultati dell’iniezione potrebbero essere pericolosi e rendere il codice
vulnerabile:
Si possono ottenere Exploit di risultati dei dati o quanto altro il
codice iniettato possa far risultare, come rootkit o portare al
defacciamento del sito o dell’applicazione, se riscontrato da un
Bug Traker.
Campo $_POST[‘$user’] = Codice Pericoloso a concatenarsi alla Query
Campo $_POST[‘$pass’] = Codice Pericoloso a concatenarsi alla Query
57. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Come evitare attacchi SQL Injection?
Costruendo un modulo ben strutturato. Per fronteggiare un'eventualità tale la
soluzione migliore si divide in diversi processi di scrittura del codice:
• Parametrizzate i valori, quindi
costruire query parametriche
(funzioni parametriche consentite)
• Chiudere le stringhe query con le
giuste sintassi (;)
• Criptare il codice da inviare al DB
• Adottare Sistemi di Controllo con
algoritmi specifici
Ovviamente una volta che il codice ad esempio di una Password è criptato,
per un brute force è molto più difficile poter risolvere e avere una
risoluzione della stringa.
58. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Livello di Sviluppo - Soluzioni
Per fronteggiare tutte le minacce una ad una, ci si serve di diversi metodi, ma per
spiegarlo qui adesso, vi devo delegare a seguire un corso specifico dei temi
trattati.
59. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Comprensione dei Livelli di Sicurezza
La comprensione dei livelli di sicurezza è importante per il corretto utilizzo di
un'infrastruttura di sviluppo. Ecco perché suggerisco di non improvvisarsi
sviluppatori o geni dello sviluppo, Producendo codice unicamente a mano, ma
sfruttate la possibilità di poter utilizzare una ambiente già strutturato, i cosiddetti IDE
(Interface Development Enviroment).
60. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Usate le Interface Development Enviroment
Quelli presentati qui sono un'ottima base di partenza, che permettono di rendere
operativa e redditizia la vostra attività professionale. Alcuni sono Freeware altri a
pagamento. Anche i frameworks aiutano parecchio, e una conseguente
redditività deriva da un uso appropriato degli stessi.
61. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Utilizzate il Cloud Computing
Nel senso di virtualizzazione dell'infrastruttura Workstation.
Sperimentate a pianificate scansioni della vostra infrastruttura utilizzando
strumenti adatti. E se utilizzate servizi distribuiti da terzi ISP, confrontate e
verificate adeguatamente l'infrastruttura e che i Vostri dati siano ben sigillati e
non resi vulnerabili. Se proprio volete condividerli pubblicamente al massimo
utilizzate dei Servizi VPN certificati, senza avvalervi di ulteriori Host pubblici
disastrosamente materializzati o camuffati da servizi di Cloud Computing.
62. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Prendete il controllo dell’Ambiente di Sviluppo
Dovete essere voi gli artefici dell'infrastruttura configurata secondo le vostre
esigenze, senza delegare altri al possesso dei Vostri dati sensibili.
Si ottengono più risultati mantenendo e condividendo i dati in “Casa” che
renderli pseudo pubblici.
63. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Lo stesso vale per gli ambienti di sviluppo.
Sfruttate la virtualità dell'infrastruttura di servizio per lo sviluppo, nelle
Vostre Workstation, e successivamente nella valutazione dei servizi preposti alle
applicazioni, verificando le corrette configurazioni e vulnerabilità, pubblicate i
contenuti e i dati secondo le Vostre opportune esigenze.
64. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
E-Learning Approfondito
Per apprendere al meglio come sfruttare correttamente la tecnologia del Cloud
Computing, vi suggerisco di iscrivervi alla Nostra piattaforma di E-learning.
Dove a breve saranno presentate nuove serie di corsi e Workshop, non solo sul tema
della Sicurezza informatica ma anche sui temi dell'utilizzo delle Infrastrutture di rete
e su come rendere redditizie le proprie Strutture aziendali, restando a passo con
l'evoluzione dell'ICT.
65. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Piattaforma di E-Learning – Corsi ICT
Piattaforma E-Learning su core Docebo® , con lo
scopo di Informare ed informatizzare le PMI on line
sul mondo dell’ICT, attraverso:
http://corsi.ipcop.pd.it
PROCEDURA
• Registrazione GRATUITA
Piattaforma
• Iscrizione
Corso, Workshop o Webinar
66. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Lista dei Corsi, Webinar e Workshop - ICT
• Corsi Formativi e Tecnici
• Seminari (Webinar)
• Workshop on-line
67. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Corsi Certificati Grazie a IWA Italy
I Corsi della Nostra Piattaforma sono certificati per i profili
professionali europei ICT di terza generazione (Web Skill Profiles)
appartenenti al settore del Web, basandosi sul documento “European ICT
Professional Profiles (CWA 16458:2012)” e sui documenti relativi a “E-
Competence Framework 2.0” (EC-F 2.0) estesi a livello mondiale coni
IWA/HWG, e riconosciuti come realtà di standardizzazione dal CEN.
68. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Anteprima Assoluta – Nuovo Corso
A breve sarà disponibile il Corso
“Amministratore di rete con IPCop
Seconda Edizione”.
Tutti gli attuali partecipanti che si
sono iscritti o che si iscrivono
all’attuale versione del corso 1.4.21,
saranno migrati GRATUITAMENTE
alla SECONDA EDIZIONE 2.1, senza
costi aggiuntivi, e potranno godere
dell’offerta limitata:
“Amministratore di rete con IPCop Seconda Edizione”
al prezzo bloccato di € 99,90 anziché di € 256,00
all’avvio del Nuovo Corso di SECONDA EDIZIONE.
69. Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Grazie a tutti Voi per aver Partecipato
Ringraziamento Speciale a Giacomo e Nena
Per il loro supporto e sostegno.
Aula Virtuale IPCop Italia
Andrea Patron – CEO IPCop Italia
http://www.ipcop.pd.it – http://corsi.ipcop.pd.it
Seguiteci sui maggiori Social Networks