La sicurezza delle reti
nell'era della global Internet
Ing. Francesco Palmieri
Università Federico II di Napoli
fpalmier@unina.it
Il peccato originale
• Internet è un infrastruttura critica ma il suo modello di sicurezza di base è cambiato molto poco a partire dalle origini (anni 70).
• L’architettura di Internet è stata inizialmente concepita per
garantire un alto livello di
affidabilità ma ben poco interesse è stato dedicato alla sicurezza
• Stiamo utilizzando una tecnologia vecchia di 30 anni che non e’ nata per applicazioni di E-Commerce o per garantire la sicurezza di transazioni mission-critical.
• Per garantire livelli adeguati di sicurezza è richiesta grande attenzione e competenza nella configurazione e gestione di dispositivi, protocolli e servizi di rete
Le debolezze (?) di Internet
• Non è strutturata, essendo costituita da un mesh di interconnessioni ad hoc
• Non esiste un’autorità centrale di controllo
• Non esiste un controllo centralizzato o distribuito delle connessioni nè è
fattibile un tracciamento delle stesse
• Politiche di billing/accounting per pacchettii o flussi di dati sono molto rare e tipicamente irrealizzabili sui grandi volumi
• Le apparecchiature di “core” sono troppo impegnate e sfruttate per garantire il necessario supporto di politiche di sicurezza e ad analisi puntuale del traffico
• Perimetri di elevatissime dimensioni sono praticamente impossibili da controllare
…e le bad practices degli utenti
• utilizzo di post-it per ricordarsi le password
• aggirare le misure di sicurezza (es.
Disattivazione antivirus)
• lasciare i sistemi/documenti “unattended”
• aprire e-mail attachment
• utilizzo di password banali
• discorsi riservati in aree/locali pubblici
• applicazione poco rigorosa delle policy
• sottovalutazione dello staff (insider attacks)
• lentezza o inerzia nell’update dei sistemi (patch)
"La sicurezza si misura nel suo anello più debole“
Ma adesso non si scherza!
• Negli ultimi anni la rete è diventata elemento strategico per il business e strumento essenziale in tutte le attività lavorative e sociali
• Si parla ormai estesamente di sfruttamento commerciale della rete
• In poche parole, la connettività in rete ha acquisito un valore irrinunciabile per tutte le istituzioni pubbliche o private
L’illusione della “personal security”!
Con l’emergere della connettività personale ovunque si sta affermando un’approccio individualistico alla security:
• Devo evitare che la mia macchina venga compromessa
• Devo tutelare la privacy dei miei dati sensibili
• Devo evitare che il mio Hard Disk venga cancellato
• Devo proteggere la mia macchina dai virus
Tale approccio è PERICOLOSISSIMO perché spesso vanifica qualsiasi ottica di cooperazione!
Ma è una contraddizione!
• Di fronte a buona parte delle moderne minacce alla network security l’unica logica vincente è quella dell’ interscambio continuo di informazioni e della mutua cooperazione per tracciamento, filtraggio etc.
• Internet è nata come un’infrastruttura ad uso della collettività e deve il suo enorme successo al suo essere mezzo di
aggregazione globale cresciuto in una logica di collaborazione e interscambio del transito
• In un modello di aggregazione così
complesso, nessuna entità o insieme di entità può essere completamente
autosufficiente e di conseguenza bastare del tutto a se stessa
Ma la cooperazione è difficile!
• Grande quantità di ISPs e amministratori inesperti o di fatto disinteressati al problema e a collaborare
• Disattenzione agli elementi legislativi locali e internazionali
• Complessa mediazione con altri paesi e altre culture
• Esistenza di elementi non sorvegliati nella catena internazionale
• Problemi legislativi: ciò che è illegale da noi potrebbe non esserlo altrove
Cosa sta cambiando?
• Mercato della security : 18 bn$
– tasso di crescita : 12/15% anno
• Danni da violazioni della security: 50 bn$
– tasso di crescita : 45% anno
IL TREND ECONOMICO E’ SOSTENIBILE ???
• Nuovi utenti di rete nel 2005 : 155 Milioni
• entro 4 anni
– Blogs: 27 milioni
– “macchine” in broadband : 2 miliardi – “macchine” in wireless : 2 miliardi
E’ POSSIBILE PROTEGGERE IL SISTEMA ???
Fonte : RSA Conference 2006 Keynote
Wireless e (in)Security
• La diffusione capillare della tecnologia WiFi introduce ulteriori aggravi al generico
ambito della sicurezza in rete
• Scarsa cultura della sicurezza negli
intallatori
• Il 75% degli AP rilevati risulta aperto del tutto
• Un rimanente 20% usa tecniche di protezione facilmente aggirabili
Le minacce sono in continua evoluzione
SOFISTICAZIONE SOFISTICAZIONE
DINAMICHE DINAMICHE
SCOPI SCOPI
Nuovi attacchi, sempre più difficili da individuare e tracciare
Dal singolo computer all’attacco mirato (DoS) all’infrastruttura globale
Da tempi di diffusione lunghi a pochi secondi
Aumenta il livello di sofisticazione
Virus Worms
Virus Worms
SpamSpam DoS
DDoS DoS DDoS
Spyware Adware Spyware
Adware Trojan
Backdoors Trojan Backdoors
Bots Zombies
Bots Zombies Abuso
P2P, IM Abuso
P2P, IM Porta 80Porta 80
Evolvono gli scopi e le dinamiche
Infrastruttura Globale
Reti Geografiche
Reti Interconnesse
Singole Reti
Singoli Computer Infrastruttura
Globale
Reti Geografiche
Reti Interconnesse
Singole Reti
Singoli Computer
IMPATTO IMPATTO
1a Generaz.
• Boot viruses
1a Generaz.
• Boot viruses
2a Generaz.
• Macro viruses
• DoS
• Limited hacking
2a Generaz.
• Macro viruses
• DoS
• Limited hacking
3a Generaz.
• Network DoS
• Blended threat (worm + virus+
trojan)
• Turbo worms
• Widespread system hacking
3a Generaz.
• Network DoS
• Blended threat (worm + virus+
trojan)
• Turbo worms
• Widespread system hacking
Prossima Generaz.
• Infrastructure hacking
• Flash threats
• Massive worm driven
• DDoS
• Damaging payload viruses and worms
Prossima Generaz.
• Infrastructure hacking
• Flash threats
• Massive worm driven
• DDoS
• Damaging payload viruses and worms
19801980 19901990 OggiOggi FuturoFuturo SETTIMANE
SETTIMANE
GIORNI GIORNI
MINUTI MINUTI
SECONDI SECONDI
Quali sono le principali minacce?
• Si moltiplicano gli episodi di vandalismo informatico, già si parla di cyberterrorismo
• Il danneggiamento o la negazione (DoS) della
connettività è ora il principale problema di sicurezza
Come agiscono?
• Ora le tecniche di attacco sono alla portata di tutti anche grazie alla diffusione di massa, attraverso la stessa rete, di informazioni, strumenti e metodologie per il danneggiamento e lo sfruttamento illecito di risorse altrui
• Lo sviluppo di nuove tecniche e metodi di attacco e offesa procede più velocemente della ricerca e diffusione di nuovi paradigmi di sicurezza
Le metodologie di attacco e l’anonimato
• Gli attacchi possono essere celati nascondendosi
nell’anonimato dei milioni di hosts presenti sulla rete
• E’ quasi impossibile tracciare attacchi
intermittenti di breve durata che cambiano spesso
origine
• In media chi si difende non ha grandi mezzi nè la
richiesta esperienza
I pro e contro della diffusione dell’informazione
Albert Einstein ha detto:
“Il progresso tecnologico a volte può essere
paragonabile a un’ascia nelle mani di un
criminale psicopatico.”
Il paradigma “security through obscurity” è concettualmente discutibile ma il rendere alla portata di tutti determinate
tecnologie offensive comporta la necessità di una maggiore attenzione per tutti coloro che gestiscono la sicurezza
Tecnologie di offesa professionali
Il livello tecnologico ed organizzativo degli strumenti a
disposizione è sufficientemente elevato. Il tutto è molto ben documentato e largamente disponibile
L’attività in sé sta assumendo connotati professionali, anche
grazie alla notevole domanda finalizzata a danneggiare il mondo dell’industria
Tirando le somme
Numero utenti +
Confini territoriali + Problematiche tecniche + Disponibilita’ informazioni = ________________________
Probabilita’ di subire un’attacco
Gli obiettivi “sensibili”
• La stabilità generica della rete: DoS, Worms e Virus
• I grandi portali servizi WWW (governativi, e-business, e- banking, informativi etc.)
• I meccanismi di base dell’infrastruttura Internet
– DNS (Domain Name System)
– BGPv4 (Border Gateway Protocol)
– MPLS e servizi MPLS-based (VPN, FRR etc.)
I BERSAGLI DIVENTANO
• Non l’e-economy
– Ma tutta l’economia
• Non un settore
– Ma tutti i settori
• Non solo le aziende – Ma tutta la nazione
Classificazione delle minacce
Banda accesso Ciscuiti
Protocolli Routers Firewalls Banda accesso Ciscuiti
Protocolli Routers Firewalls
Unix Linux
MS-Windows MAC-Os Net daemons Unix
Linux
MS-Windows MAC-Os Net daemons
Application Servers
Service daemons Databases
Application Servers
Service daemons Databases
DoS, Spoofing, etc.
Virus, Worms, Buffer overflows, etc.
SQL injection, XSS, input tampering, Spam, etc.
Rete Host
Minacce contro la rete
Minacce contro gli hosts
Minacce contro le applicazioni
Applicazioni
Le minacce più comuni
• E-Mail Spamming:
– Sfruttamento della banda e delle risorse elaborative altrui per operazioni di e-mail relay massive
• Sfruttamento indebito di banda trasmissiva:
– Sfruttamento su specifiche tratte vulnerabili della banda altrui conseguito perturbando in maniera dolosa
l’instradamento all’interno di uno o più AS
• Falsificazione dell’indirizzamento (spoofing):
– Falsificazione dolosa del proprio indirizzo sorgente, generalmente propedeutica a buona parte delle attività ostili di cui sopra, per rendere problematica
l’identificazione delle reali origini di un attacco.
• WWW site defacing:
– Modifica dolosa ad arte del contenuto di un sito WWW
Le minacce più comuni
• Vulnerability Scans – Network mapping :
– Analisi e ricerca sistematica delle vulnerabilità su rete
• Denial Of Service:
Sfruttamento di meccanismi di ripetizione ed amplificazione ai danni di risorse di banda di terzi per incrementare le potenzialità di attacchi classici
Distributed Denial of Service
L’Attacker controlla E attiva l’attacco
I Masters sono host compromessi che
Controllano gli Agents Schermando I clients
Gli Agents sono host compromessi che hanno il compito di realizzare effettivamente gli attacchi moltiplicandone gli effetti in virtù del loro numero Gestione distribuita degli attacchi attraverso lo sfruttamento
simultaneo e sincronizzato di un notevole numero di hosts violati per svolgere attività offensive difficilmente isolabili da più
provenienze e direzioni
Distributed Denial of Service
I Reflectors sono hosts tipicamente non compromessi ma estrememente numerosi sfruttati dagli Agents attraverso meccanismi di reply (tipicamente ICMP echo-reply o TCP/UDP echo) per amplificare ulteriormente gli effetti dell’attacco
Distributed Denial of Service
Le fasi e la dinamica di un DDoS
1. Scansione di decine di migliaia di hosts per l’individuazione di vulnerabilità note e sfruttabili
2. Exploit delle vulnerabilità a scopo di compromissione degli host conquistandone l’accesso
3. Installazione dei tools per la realizzazione del DDoS
4. Sfruttamento degli hosts conquistati come base di partenza per ulteriori scansioni e compromissioni reiterando il punto 3 5. Una volta installati i DDoS tools su un numero sufficiente di
hosts si procede all’avvio dell’attacco attivando handlers e agents a partire da un client remoto
Worms e Virus
• Codice autoreplicante che effettua scansioni a tappeto
sulla rete e si propaga autonomamente sugli hosts vittima sfruttando vulnerabilità note, infestando gli stessi e
riattivandosi in molteplici copie. In questo i worms si contraddistingono dai Virus che si agganciano ad altro codice “ospite” del cui avvio si servono per avviare la propagazione.
Le dinamiche di propagazione di un virus: il modello biologico
• Una cellula “malata”, o meglio “infettata”, può
attaccare le altre cellule ed infettarle a sua volta fino a compromettere i gangli vitali dell’intero organismo, o di sostanziali parti di esso, minandone la funzionalità
• La forza di Internet, in
termini di grande connettività a livello globale diventa la sua principale debolezza
Worms
• Hanno effetti devastanti sulla stabilità della rete
Internet proporzionalmente alla loro velocità di
propagazione
CNN 25
Gennaio 2003
… Il
fenomeno
ha avuto
una certa
risonanza
nei media
I più recenti WORMs
• Code Red 1 e 2
• Code Blue
• Nimda
• SQL Slammer
• Blaster
• Nachi/Welchia
• Sfruttano vulnerabilità
note dei sistemi operativi più diffusi (MSWindows, Linux, etc)
• Spesso si propagano massivamente via e-mail
• 1 min: scansione massiva (55 milioni di IP/sec)
• < 2 min: saturazione totale banda di accesso
• < 15 min: completata scansione del 90% di Internet
• < 40 min: infettati 100k hosts
Conseguenze della propagazione dei worm
• Morris worm, 1988
– Infettate approssimativamente 6,000 macchine
• 10% dei computers connessi a Internet – costo ~10 milioni di $ in downtime e bonifica
• Code Red worm, 16 Luglio 2001
– Discendente diretto del worm di Morris – Infettati più di 500,000 servers
• Programmato per andare in sleep mode all’infinito il 28/7
– Ha causato danni per ~ 2.6 Bilioni di $
Statistiche: Computer Economics Inc., Carlsbad, California
Considerazioni strategiche
• I worms sono la più potente minaccia per la sicurezza delle reti di oggi e di domani
– Molti milioni di hosts sono vulnerabili (numero sempre in crescita)
– Facilità di realizzazione
• Il tipico scheletro/payload del worm è separato dai codici di exploit
• Significativa riusabilità del codice
– E’ possibile avere danni ancora maggiori
• Finora siamo stati fortunati I worm apparsi hanno avuto comportamenti piuttosto benigni
• E’ possibile cancellare/modificare dati o interi dischi; riaggiornare bios; rivelare pubblicamente dati riservati; bloccare l’accesso alla rete
• Non abbiamo metodi sistematici di difesa
– E’ evidente che la reazione richiede tempi umani, quindi troppo elevati
– Le tecnologie di difesa stanno adesso nascendo
I rischi per i portali informativi
• Complessi strutturalmente (nuovo modello multi-tier), e presentano molti bugs
– stack smashing attacchi vari, etc
• Scripts CGI: è sempre pericoloso far eseguire programmi dall’esterno
• Java, ActiveX, COM, DCOM etc. sono
inerentemente pericolosi in quanto violano spesso il modello di sicurezza del SO ospitante, sono definiti in maniera incompleta e progettati per l’efficienza non la sicurezza
• Troppe opzioni di configurazione
– La sicurezza di un portale è affidata per il 90% a una attenta
configurazione
• Accesso a basi di dati
interne
Federal Computers Vulnerable
“According to federal officials, federal websites and computer
systems are particularly vulnerable to outside attacks because they lack two important elements: adherence to security plans and qualified
personnel to maintain security measures.”
http://www.newspage.com/cgi-
bin/NA.GetStory?story=h0624132.500
&date=19990625&level1=46510&level2
=46515&level3=821
CHE FARE?
Tecniche di difesa e protezione
I compromessi fondamentali
Sicurezza Sicurezza
Costi Costi Usabilità
Usabilità
Security Trade-Offs
Il più comune errore di valutazione!
UN FIREWALL PERIMETRALE MI GARANTISCE DA SOLO LA PIENA
SICUREZZA DELLA RETE
Un po’ di dati numerici (CSI/FBI Report 2001)
Fonte: CSI/FBI Computer Crime and Security Survey 2001
Gli attacchi sono avvenuti anche se le aziende erano dotate di sistemi di sicurezza:
il 95% possedeva un Firewall,
il 61% un IDS,
il 90% un sistema di autenticazione,
il 42% certificati digitali
Ma la realtà è ben altra
Verso Architetture Security-aware
UNA RETE SICURA E’ FRUTTO
DELL’ARMONIZZAZIONE DI PIU’ COMPONENTI CIASCUNA COL PROPRIO RUOLO NEL
CONTESTO DELL’ARCHITETTURA GLOBALE
Firewall Firewall
Router Router
Access Access Server Server RADIUS Policy &
Authentication Server
La sicurezza come concetto globale
• E’ una necessita’ affrontare la sicurezza come progetto
complessivo, e non affidarsi unicamente a dei prodotti
• Esistono varie soluzioni HW e
SW, ma non saranno mai del tutto sufficienti: comprare un firewall o un IDS/IPS non vuol dire essere sicuri, e aumentare le proprie
difese
• Non esiste e non esiterà mai una soluzione definitiva o standard per tutti: la security è un processo sempre in divenire
? ?
?
Internet
Firewall
Router/
firewall Screening
router IDS/IPS
– Una rete va progettata pensando alla sua sicurezza – Una buona attività di design ci semplifica la vita anche
negli aspetti di security
– Vale il principio: Semplice è bello, ed è anche più sicuro!
Cominciare bene: dalla progettazione
W
Controllo Accessi
– Alla base di ogni politica di controllo degli accessi va fatta un’attenta valutazione preliminare.
• Chi ha bisogno di accedere?
• Quando e come?
• Da dove?
• Con quale decorrenza?
• Di quali servizi ha bisogno?
• Che protocolli usa?
• Che QoS richiede?
W
Lo strumento principale: Packet Filtering
• Tecnica di filtraggio del traffico caratterizzata da prestazioni wire-speed e realizzata
attraverso un Router o un Hardware Firewall
• Realizzabile attraverso l’uso esteso di ACL a livello di:
• rete e data-link
• indirizzi IP src e dest
• numeri porta
• protocollo (IP, TCP etc.)
• tipo messaggio ICMP
• Data e ora
Internet
Filtraggio dei servizi
E’ consigliabile bloccare oppure filtrare selettivamente a livello di border router solo i servizi tendenzialmente pericolosi
Definizione Politiche di Filtraggio
Esempio
• Consenti in uscita la fruizione di tutti i servizi (www, e-mail, telnet, news etc.) – Full Internet access
• Permetti in ingresso solo l’accesso ad un numero estremamente limitato di servizi (e-mail, www, ftp) erogati solo da hosts specifici e controllati
• Consenti in ingresso il solo traffico relativo alle sessioni aperte dall’interno (attenzione a ftp!)
• Consenti Ping e Traceroute dall’interno e dall’esterno
• Consenti in maniera controllata i meccanismi DNS
Anti-Spoofing
Gran parte degli attacchi in rete, in particolar modo i Denial Of Service si basano sulla falsificazione fraudolenta, o spoofing, degli indirizzi
d’origine.
Il modo più semplice di proteggersi è quello di scartare tutto il traffico in ingresso o uscita con indirizzi sorgente inammissibili rispetto alla provenienza, riservati (RFC 1918) o non correttamente instradabili
Autenticazione sessioni di routing
• Ove sia previsto lo scambio di informazioni di
instradamento attraverso protocolli di routing dinamico, è sempre opportuno, a scopo di garantire l’integrità dei
processi di routing da alterazioni dolose, prevedere l’uso di meccanismi di autenticazione dei partecipanti al colloquio.