La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
-
Upload
marinuzzi-associati -
Category
Internet
-
view
52 -
download
0
Transcript of La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza delle informazioni nell’era dello Urban Cyber SpaceConvegno Tecnhology4all
Centro Congressi Frentani – Via deiFrentani,4514 MAGGIO 2015
Sicurezza: il contributo umano
• 7 Maggio: Giornata mondiale delle Password
Rank Password Change from 2013
1 123456 Unchanged
2 password Unchanged
3 12345 Up 17
4 12345678 Down 1
5 qwerty Down 1
6 123456789 Unchanged
7 1234 Up 9
8 baseball New
9 dragon New
10 football New
11 1234567 Down 4
12 monkey Up 5
Rank Password Change from 2013
13 letmein Up 1
14 abc123 Down 9
15 111111 Down 8
16 mustang New
17 access New
18 shadow Unchanged
19 master New
20 michael New
21 superman New
22 696969 New
23 123123 Down 12
24 batman New
25 trustno1 Down 1
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 2
Cosa sanno di noi i motori di ricerca
• https://security.google.com/settings/security/activity https://www.google.it/settings/ads
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
3
Cosa sanno di noi i motori di ricerca
E ovviamente la cronologia: https://history.google.com/history/
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 4
Location History
• https://maps.google.com/locationhistory/ un mese intero di spostamenti!
Mascherato per privacy.
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 5
Dump del nostro «io digitale»
• https://www.google.com/settings/takeout scarichiamo tutto!
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 6
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
Spazi per nuove soluzioni in progress
• Limite per gli attuali strumenti di salvaguardia della privacy (ad es. Ccleaner, etc..). I nostri dati di privacy non sono più solo «in locale».
• Necessità di una nuova generazione di strumenti agenti online e con frequenza giornaliera. Ad esempio macro automatizzate che simulano l’azione dell’utente. Servizi periodici in abbonamento.
• Nel caso di gestori dei dati di privacy meno trasparenti, possibilità semplificata di adozione dinamica di differenti profili di accesso ed esposizione in rete (differenti browser con settaggi diversi, etc…).
7
Il nuovo Glossario delle minacce digitali
http://www.iglossa.org/istruzioni-per-luso/
Promosso dal gruppo di lavoro contro il cybercrime del Ministero di Giustizia:
55 comportamenti criminali o a rischio
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 8
Le criptovalute? Più tracciabili delle reali!
Colore e tracciabilità della moneta.
Operazione Onymous: tutti arrestati
Processo Silk Road: tutti arrestati
Riciclaggio di denaro «cartaceo»: tutti arrestati????
Tutte le transazioni di Bitcoin sono auto-registrate nella valuta stessa con gli pseudonimi;
La traccia informatica lasciata dal Bitcoin è prova giudiziaria, non solo indizio.
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 9
Report 2015 dai produttori di antivirus
Internet Security Report 2015:
$ 2014: target obiettivi di alto potenziale (Heartbleed, 800,000 sistemi)
$ Tempi di scoperta e soluzione elevati: 22 e 204 giorni (4 giorni nel 2013) siamo sempre più a rischio
$ Il 60% dei target sono le PMI
$ 317M di malware creati nel 2014
$ Alta percentuale di Ransomware (+113%) e SpearPhishing: profilati sul target specifico
$ IoT: il 52% delle app NON PROTEGGE i dati, trasmissioni non criptate (tastiere wireless).
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 10
Aumento della sofisticazione degli attacchi (CERT)
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 11
Hacker Academy gratis!
youtube
66900!!
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 12
Esempio di SQL Injection
Ricerca delle stringhe:[+] inurl: news.php?id=[+] inurl: news.asp?id=
59,000 risultati
121,000 risultati
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 13
Esempio di SQL Injection
Provo con il primo: http://www.irishsanghatrust.ie/news.php?id=33'
Possibile vulnerabilità!!!
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 14
Esigenze e ruoli emergenti
Dal penetration test una tantum verso la necessità di sottoscrivere un servizio di abbonamento per la verifica continua della sicurezza dei propri dati esposti in rete sia a livello personale sia aziendale.
La professionalità e l’indipendenza devono essere predicate “in primis” a livello della persona “fisica” che poi può anche partecipare o appartenere ad un’organizzazione superiore con altri suoi “simili” che può offrire maggiori garanzie.
La figura dell’Ingegnere dell’informazione ai sensi del DPR 328/2001 è quella indicata per garantire affidabilità, competenza e comportamento etico.
Ai sensi della circolare 194/2013 del CNI vi sono specifiche riserve per tale professionista in ambito ICT.(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno Technology4all
15
Paradossi del valore in moneta
Quando un servizio è gratis significa che noi siamo il prodotto.Quando un servizio o prodotto è quasi gratis potrebbe avere una grande economia di scala e dunque qualità nelle funzionalità ed affidabilità ma una scarsa sicurezza.Quando un servizio o prodotto ha un costo molto alto e una componente digitale significativa potrebbe esser ottimo dal punto di vista della sicurezza ma scarso nelle funzionalità ed affidabilità generale nel tempo.
E’ necessario un ingegnere competente per selezionare la soluzione ottimale in una data finestra temporale.
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 16
Dalle ultime novità tecnologiche…
Invero esiste una microspia ambientale audio e video 24 ore su 24 che ci segue, ci vede e ci ascolta sempre ed in ogni luogo in tempo reale. E’ molto difficile da disinnescare e mette in seria crisi la propria privacy personale ed aziendale e i principali sistemi di difesa e di contromisura.
Chi già ne ha avuto notizia?
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 17
Gli smartphone e non solo…
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 18
I sistemi di controllo!!!
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all
intitle:"netbotz appliance" "OK"
19
Alcune misure artigianali di protezione..
Uno smartphone moderno non si spegne mai…l’importanza del frigorifero e del microonde!
Segnale (?) + audio
Segnale (?)
Segnale
Segnale
(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno
Technology4all 20
Soluzioni professionali
1. Primo livello: selezione di un ingegnere dell’informazione di fiducia. Il vostro smartphone è la mappatura digitale della vostra identità.
2. Secondo livello: • controllo di presenza di spyware nell’apparecchio;• storico ed indagine forense sull’apparato;• bonifica e/o messa in sicurezza.
L’Ordine degli Ingegneri della Provincia di Roma può svolgere un valido ruolo di garanzia e tutela nell’esercizio di questa professionalità cosi delicata e critica per la privacy e l’impatto sulla vita di tutti noi.
Grazie. Francesco Marinuzzi Rif. [email protected](C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -
Ordine degli Ingegneri della Provincia di Roma Convegno Technology4all
21