owasp security summit_2012_milanovs_final
Post on 19-Oct-2014
856 Views
Preview:
DESCRIPTION
TRANSCRIPT
Copyright © 2011 - The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.
The OWASP Foundation
OWASP
http://www.owasp.org
L’evoluzione delle minaccie e degli impatti hacking e malware per il settore finance
Marco Morana Global Industry CommitteeOWASP Foundation
Security Summit Milano21-22 Marzo 2012
OWASP
Conoscete OWASP ?
2
OWASP
Agenda Della Presentazione
PARTE I: L’evoluzione degli scenari di computer e internet hacking, attacchi ed
agenti di minaccia
PARTE II: Analisi delle minaccie di hacking malware e degli impatti per il settore finance
PARTE III: Evoluzione ed efficacia delle contromisure e criteri per la mitigazione dei
rischi di hacking-malware
3
OWASP 4
PARTE I: L’evoluzione degli scenari di internet hacking, attacchi ed agenti di
minaccia
OWASP
Evoluzione delle minaccie hacking-malware
5
Lo scenario delle minaccie e’ cambiato negli ultimi 10 anni:• Ieri: attacchi isolati di script kiddies (adolescenti) con
obbiettivi di diffondere virus fare denial of service e diventare famosi
• Oggi: attacchi di gangs organizzate nella vendita di cybercrime. Obbiettivi sono soprattutto profitti dal furto dati di identita’, dal furto carta di credito per vendita e contraffazione, frodi online, denial of service ai siti per motivi politici/hacktivism
SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape
OWASP
Profili “threat agents” degli anni 1990-2000
6
Anno 1994 Vladimir Levin aka ArkanoID trasferisce 10 milioni di $ da citibank nel suo conto corrente by hacking X.25 financial networks
Anno 2000 Onel Deguzman autore del virus ILOVEYOU, diventa famoso attaccando circa 10 milioni di computers nel mondo., danno estimato 5.5 miliardi $ per disinfestare iil virus
Anno 2000 Michael Calce alias MAFIABOY All’eta di 15 anni, mette offline i siti di yahoo, ebay, cnn, amazon. Etrade disconnesso per 90 minuti usando file sharing software
Anno1999 Jooseph aka “c0mrade” James installa sniffer e intercetta le passwords US Dept of Defense
OWASP
Threat agents famosi degli anni 2001-2010
7
Anno 2004 Svem Jascham autore del Sasser worm con un impatto stimato di 10 milioni di host infettati
2007 Albert Gonzales ruba circa 130 milioni di acconti di carte di credito dai negozi Hannaford e TJX Maxx e dai Bancomats nei negozi SevenElevenUsa SQL Injection per installare malware sniffers e dati fra POS e credit card processors (e.g. Hearthland Payment Systems) Rivende i numeri di carta e PINs nel mercato hacker underground (Darknet) e realizza profitti dalla contraffazione delle carte via Bancomats
Anno 2006 Jeanson James Ancheta primo autore di botnet in affitto a spammers ed hacker, infetta e controlla in totale 1/2 milione di computers inclusi quelli della Defense Information Systems Agency (DISA)
Anno 2010 la corte di giustizia di NY sentenzia 37 hackers colpevoli di frodi bancarie su scala globale per 3 milioni di $ usando malware Zeus
OWASP
Scenari di minaccia per siti financial: hackivism
8
OWASP
Principali incidenti per volume di perdita dati
9
OWASP
Gli incidenti di data breach piu’ recenti (2011)
10
Sony (PlayStattion Network) Furto di dati di carta di credito e password for 100,000 users
Epsilon, sito con emails di AMEX, VISA, Retailers, Banche, 60 milioni di emails compromesse
RSA, servers del sistema di authenticazione a chiavetta (SecureID token), milioni di clienti impattati hanno dovuto sostituire le chaviette
HBgary Federal, vendetta del gruppo Anonymous, emails di clienti CEOs pubblicati su un server in Russia
Stratofor, strategic intelligence-reporting per clienti, 860K emails e 75K numeri di carta di credito dei clienti
OWASP 11
Ok, let’s take a step back..
OWASP 12
PARTE II: Attacchi di hacking : analisi degli minaccie e degli impatti
OWASP
Quali sono le cause e gli effetti degli incidenti ?
13
OWASP
Principali cause degli incidenti con perdita di dati ( Fonte Verizon, 2011)
14
La maggioranza sono causate da hacking e diffusione di malware
Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/
OWASP
Tipologia di dati compromessi da attacchi malware-hacking (Fonte Verizon 2011)
15
Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/
I tipi di dati piu’ a rischio sono carte di credito seguiti dai dati di authenticazione
OWASP
Cause delle perdite di dati personali e tipologia di attacco (Fonte datalossDB)
16
Cause No1 e’ hacking (32%) dall’esterno (53%)
Source: DataLossDb.org http://www.datalossdb.org
OWASP
Gli effetti di hacking e malware: tipologia di frodi online
17
Account takeover transferimenti di denaro online via ACH/wire
Card non present fraud :pagamenti online con dati carte rubate
Contraffazione carte credit/debit e frodi via eATM/ABM, POS
Cattura dati di carta e sensibili con Man In the Middle e Man in the Browser e installazione di data sniffers nei canali POS
Carding validazione dati di carta/debito usando online form
Application fraud: Usare dati compromessi online per aprire un conto corrente, applicare per una carta di credito (application fraud)
Attacchi e scams cross-borderMoney-laundering usando money mules Phishing e vishing ai fine di catturare
dati di carta (CVV, PINs, ACC)
OWASP
Le tecniche malware/hacking per frodi online banking: account takeover
Attacchi diretti al client (browser, PC) Sfruttano le vulnerabilita’ del browser (Iframes, Flash,
Plugins) e del client PC (no AV/AS) privilegi administrator Social engineering e phishing attraveso vari canali (email,
facebook etc) Attacchi diretti al sito online banking
Sfruttamento di vulnerabilita’ del sito (e.g. autenticazione login, debole, SQL injection, XSS, Iframe injection, Invaldiated Redirection)
Mancansa di misure server di filtering/white-listing, monitoring eventi (e.g. no WAF, no SIEM, no blocking of malicious cookies/HTTP agents)
Attacchi diretti alle transazioni di pagamento/ bonifico Sfruttano mancanza di verifica origine della transazione
(e.g. call back, verificazione tranazione su canale indipendente)
Sfruttano mancanza autentificazione esterna (e.g. OOBA, SMS/voice, maker/checker dual person authorization) 18
OWASP
Esempio di attacco sul browser utente: Man In The Browser
19
OWASP
Il ciclo delle frodi online usando malware (fonte FBI)
20
Malware coder scrive il codice oer attaccare la banca (crimware)Hacker compra il
crimeware o lo prende in affitto
Utente online banking PC viene infettato con il baking malware
Banking malware cattura i dati in tastiera ed online
Hacker si collega al server , accede al computer della vittima e si collega all conto online con i dati del server
Hacker si collega all conto online con i dati del server Hacker fa un bonifico ad
un conto terzo (money mule)
Bonifico viene trasferito al conto del hacker
Source: of the image from http://en.wikipedia.org/wiki/Zeus (Trojan_horse) The Zeus Fraud Scheme
OWASP
Zeus banking malware: tracking dei siti controllati dai fraudsters (dati in real time dal sito abuse.ch)
21Source: https://zeustracker.abuse.ch/statistic.php
OWASP
La lista prezzi dati carte e log-ins, hacking tools e servizi cybercrime (fonte PandaLabs 2011)
22
Source PANDA labs: http://ww.pandasecurity.com
OWASP 23
Quale attenzione dedichiamo alla possibilita’ di futuri incidenti ?
OWASP
Monetizzazione del possibile impatto di una perdita di dati per un exploit di vulnerabilita’ di SQL injection
24
1. Calcolare la probabilita’ dell’attaccoAssumi i seguenti dati statistici:- il 11 % delle perdite dei dati avviene online
(dati datalossDB) - il 19 % degli attacchi sfruttano SQL injection
(dati del WHID)Probabilita’ e’ 2 % di perdere dati online per un attacco di SQL injection
2. Calcolare il valore dell’ asset (i dati)- 400 Euro per record (500-2000 as range)- Sito con 300,000 utenti registrati onlineValore dell asset = 120 milioni di euro
Liabilita di attacco SQL injection = Probabilita X Valore Asset = 2.4 milioni di euro o 80 Euro/customer
OWASP
Monetizzazione del possibile impatto di hacking-malware account take over ?
25
1. Calcolare la probabilita’ dell’attaccoAssumi i seguenti dati statistici:- in UK circa 100,000 PC sono infetti da malware Zeus (Trusteer) su una numero di PC in UK di 36 milioni la probabilita e’ 0.2 %Probabilita’ e’ 0.2 % di frode online a causa di un attacco malware Zeus
2. Calcolare il valore della transazione wire/ACH- valore massimo di transfer via ACH online : 5,000 £- numero di clienti gold con depositi medi ( > 10,000 £): 50,000
Valore della transazione (cumulativo) = 250 milioni di £Liabilita di account take over online = Probabilita X Valore Asset = 500,000 £ o 10 £/customer
OWASP
Monetizzazione degli impatti per frodi con uso di dati di carte compromesse o contrafatte
26Source: Australian Payments Clearing Association (APCA) referred inhttp://lockstep.com.au/blog/2011/09/27/au-cnp-fraud-cy2010
OWASP 27
Impatti tangibili (monetary) ed intangibili (percezione)
Source: DataLossDb.org http://www.datalossdb.org
OWASP 28
PARTE III: Evoluzione delle delle misure di prevenzione e riduzione del rischi e
criteri di investimento
OWASP
Technologie di oggi
Technologie di ieri
Nuove technologie offrono nuove opportunita di attacco e nuove sfide per la sicurezza
29
OWASP
Nuove technologie, nuovi rischi e percezioni
30
Source: http://www.newschannel5.com/story/15982718/high-tech-pickpockets-can-steal-credit-card-info
OWASP
Evoluzione delle misure di sicurezza vs. evoluzione delle minaccie alcuni esempi
31
Le frodi per contraffazione care sono diminute dal 2004-2006 ma sono autmentate dal 2006 in poi (*)
(*) Source http://www.cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf(**) Source FBI http://www.ic3.gov/media/annualreport/2009_IC3Report.pdf
2006 FFIEC stabilische che simple log-in non e’ piu sufficiente per transazioni a rischio (**)
2011 FFIEC stabilische nuove linee guida per mitigare il riischio malware/account take over
OWASP
Evoluzione della security governance negli ultimi 20 anni
32
Build Security In Maturity Model http://bsimm.com/
OWASP
Chi non evolve si addatta per paura FEAR UNCERTAINTIY incertezza o DOUBT dubbio Fear of failing audit/non
compliance => additional fines, restrictions and controls (e.g. SEC, PCI etc)
Fear of bad reputation => public disclosure of data breach of PII in most US states (SB1386)
Fear of lawsuits => fraud losses from private’s business and customers
Uncertainty on business impacts => Are we the target? How much money we loose from fraud incidents?
Doubts on risk mitigation measures => Not trusting our own security technology, people, processes
F
U
D
OWASP
Chi si evolve adotta application risk management (e.g. NIST, TM, FAST, OCTAVE, PASTA)
34
• Identify Business Objectives• Identify Security & Compliance
Requirements• Business Impact Analysis
1. Define Objectives
• Capture the boundaries of the technical environment
• Capture Infrastructure | Application | Software Dependencies
2. Define Technical Scope
• Identify Use Cases | Defin App Entry Points & Trust levels
• Identify Actors | Assets| Services | Roles| Data Sources
• Data Flow Diagramming (DFDs) | Trust Boundaries
3. Application Decomposition
• Probabilistic Attack Scenarios Analysis• Regression Analysis on Security Events• Threat Intelligence Correlation & Analytics
4. Threat Analysis• Queries of Existing Vulnerability Reports &
Issues Tracking • Threat to Existing Vulnerability Mapping Using
Threat Trees• Design Flaw Analysis Using Use & Abuse
Cases • Scorings (CVSS/ CWSS) | Enumerations
(CWE/CVE)
5. Vulnerability & Weaknesses Analysis
• Attack Surface Analysis• Attack Tree Development | Attack Library Mgt• Attack to Vulnerability & Exploit Analysis
using Attack Trees
6. Attack Modeling
• Qualify & quantify business impact• Countermeasure Identification & Residual
Risk Analysis• ID risk mitigation strategies
7. Risk & Impact Analysis
OWASP
Approccio application risk management applicato alle minaccie hacking-malware
35
Valutare le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurre frodi (transferimento non autorizzato di denaro)
Identificare le vulnerabilita’ (debolezze dell’applicazione) Errori nel design di autenticazione e session management; Vulnerabilita’ in garantire confidenzialita’ e integrity dei dati; mancanza di logs e di tracciabilita’ degli eventi e azioni degli hackers sui sistemi
Determinate l’impatto tecnico (compromissione dei controlli) By-passamento di authenticazione multi-fattore (Challenge/Questions, KBA, OTPs;) By-passamento logica di identificazione del client prima di autorizzare transazioni; Compromissione delle web forms al fine di ottenere dati dall’utente. Abuso session di autenticazione.
Determinare l’impatto per il business (perdita denaro) Perdite per Frodi/transferimento di denaro a mules; Perdita di data sensibili; Azioni legali per copertura danni account; Multe per non essere a norma con standards di sicurezza
OWASP
Quali criteri per la decisione dell’investimento in application security ?
36
1) “75% degli incidenti prende di mira applicazioni web”-
2) “Piu del 70% delle vulnerabilita’ sono a livello applicativo e non network”
3) “Ridurre le vulnerabilita nel codice/software del 50% porta ad un risparmio del 75% sul costo totale della rimediazione delle vulnerabilita’
1,2,3 Sources: Gartner
OWASP 37
Rimediare le vulnerabilita’ in di design e coding produce un risparmio del
Vantaggi economici della sicurezza “built into” nello sviluppo di software sicuro (SDLC)
OWASP
Criteri guida per investimenti in application security: la OWASP Appsec guide per CISOs
38
Source: https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs
OWASP 39
Q&Q U E S T I O N SA N S W E R S
top related