Embed Size (px)
Citation preview
L’AUDITING DI SICUREZZA SU WEB SERVER, FIREWALL,
GATEWAY. Tecniche, strumenti, criticità e case histories internazionali.
LUCA EMILI, CIORODOLFO ROSINI, CEOE*MAZE Networks SpA
E*MAZE in breve
• E*MAZE nasce nel Novembre E*MAZE nasce nel Novembre 2000 da precedenti esperienze 2000 da precedenti esperienze nel mondo IT / Securitynel mondo IT / Security
• Tra i soci è presente MB Venture Tra i soci è presente MB Venture Capital Fund di Alice VenturesCapital Fund di Alice Ventures
• Organico di 22 persone con alta Organico di 22 persone con alta specializzazione di securityspecializzazione di security
• E’ la prima azienda in Italia a E’ la prima azienda in Italia a sviluppare soluzioni di security sviluppare soluzioni di security scanningscanning
• Associazioni con enti di Associazioni con enti di rilevanza mondiale (CERT)rilevanza mondiale (CERT)
Alice Ventures fa parte del Venture Capital Project di Alice Ventures fa parte del Venture Capital Project di Mediobanca, SDA Bocconi e del Politecnico di Milano.Mediobanca, SDA Bocconi e del Politecnico di Milano.
Il fondo è sponsorizzato dalle principali aziende italianeIl fondo è sponsorizzato dalle principali aziende italiane
Finanziatori
DNS (Domain Name System)
80% Macchine DNS BIND
VULNERABILITA’ A SPOOFING ATTACKS tramite:
inserimento di bogus additional data
errata configurazione CNAME
accettazione di spoofed responses
CASO: Microsoft Corp.
eBay
I rischi del DNS spoofing
Le comunicazioni riservate tra due aziende, volte allo sviluppo comune di un nuovo prodotto o progetto potrebbero essere intercettate da una concorrente.
Il rischio di single point of failure con il DNS
Un’indagine sulle società Fortune 1000 con single point of failure analoga a quella di Microsoft
Fonte: Men&Mice, 2001
e su 5.000 .COM
I rischi di non limitare i zone transfers
Impedito ai potenziali intruder di visualizzare la lista dei potenziali target interni.
RISCHIO:
bloccato il zone trasfer solo su alcuni server (percezione apparente di sicurezza)
transfer consentito su tutti i server (60.46% dei casi) (visibilità
Precauzioni da adottare Aggiornare costantemente il Name Server
Restringere i zone transfers (slave e primary masters)
Autenticare i zone transfers con le transaction signatures (TSIG)
Limitare gli aggiornamenti dinamici
Restringere le recursive queries
Disabilitare il glue fetching
Splitting dei servizi dei name server (in advertising e resolving name servers)
Numero di incidenti registrati (18/9/01)
Fonte: Security Focus2001
Incremento massiccio degli attacchi web-based contro web-server.
Principali tipi di attacchi registrati (18/9/01)
Fonte: Security Focus2001
PROBLEMI DI CONFIGURAZIONE DEI WEB SERVER
PATCHING
Il mancato o inadeguato patching delle
macchine è stato responsabile del 99%
dei 5.823 web site defacements del 2000
(+56% rispetto ai 3.746 del 1999) in
base ai dati di Attrition.org
Perche’ web server? Stats
traffico in %
porta 80 : il male necessario
Unita’ di successo : imprese
Problema : defacement
Attrition : 3*(1995+1996)= 1 gennaio 01
Script Kiddies : unita’ di successo = defacement
Come trovare debolezze
Operazioni legittime
mirror sito
trovare directory, file e valori nascosti
analisi CGI
CGI “abuse”
Non esitono tools per fare auditing automatico di CGI proprietari
Ma io ho il Firewall!!! Porta 80
Avere policy restrittiva
Server visibili isolati dal dominio
no “bells & whistles”
logs, more logs & secure logs
(Mis)configurazioni Firewall non iniziare connessioni dalla rete locale
verso l’esterno
no FTP, no UDP*
occhio ai toolbox!
solo HTTP:80
Trend futuri
Attacchi semantici
bbo.co.uk&news@23843987/news
Domain spoofing (www.dell.com)
Motori di ricerca, P2P (Google, GNUtella)
Worm, multi-target (buone notizie, vivono di meno)
Zero responsabilita’
ContattiContatti
E-mail: [email protected]
LUCA EMILI
http://www.emaze.it
RODOLFO ROSINI
E-mail: [email protected]
© E*MAZE © E*MAZE NetworkNetworks SpAs SpA
