cert - unisa · 2004-03-09 · 2 cert gestione della vulnerabilità (1) •riceve i rapporti sulla...
TRANSCRIPT
1
CERTCOORDINATION CENTER
CERT
La nascita
Creato nel 1988, è un centro che si focalizza sul miglioramento dello stato di sicurezza di internet
È situato presso il Software Engineering Institute, un centro di sviluppo e di ricerca creato dal CarnegieMellon University.
Originariamente si chiamava “Computer Emergency Response
Team”.
CERT
Indice
• Cosa fa• Gestione delle vulnerabilità• Analisi del problema• Gestione incidenti• I principi
• Canali di comunicazione
• componenti CERT – Internet
pubblico
privato
CERT
Cosa fa il CERT/CC ? (1)
Fornisce consigli tecnici
Coordina le reazione agli incidenti di sicurezza
Collabora con altri esperti per trovare soluzioni a problemi di sicurezza
Cerca di scoprire le tendenze delle attività dell’intruso
Diffonde informazioni all’intera comunità
Analizza le vulnerabilità di un prodotto ed il codice malizioso
Pubblica documenti tecnici
Presenta corsi di formazione
CERT
Cosa fa il CERT/CC ? (2)
CERT
Cosa non fa il CERT/CC ?
Si focalizza in maniera specifica sui problemi tecnici relativi alla sicurezza in internet, ma
non si focalizza su:
Chi sono gli intrusi
Dove sono localizzati fisicamente gli intrusi
Le motivazioni degli intrusi
2
CERTGestione della
vulnerabilità (1)
•Riceve i rapporti sulla vulnerabilità
Esamina tempestivamente le fonti di informazione di internet
(Mailing List – Siti Web)
• Verifica ed analizza i rapporti
1) Questa è veramente una vulnerabilità?
2) Qual è il suo effetto?
3) Quanti e quali tipi di sistema sono danneggiati?
4) La vulnerabilità è stata attivamente sfruttata?
CERTGestione della
vulnerabilità (2)
Il cert collabora con i reporters della vulnerabilità (i venditori, gli esperti internet) per comprendere meglio la vulnerabilità stessa e per sviluppare le contromisure.
Dopodiché diffonde informazioni sulle vulnerabilità attraverso i “cert advisories”, mentre i consigli tecnici e altri documenti direttamente sul suo sito (www.cert.org)
CERT
Analisi del problema
Si focalizza principalmente sul codice cattivo scritto dagli intrusi:virus Trojan horses Exploit scripts
Lo analizza:
- Cosa fa ?
- Quali vulnerabilità sono sfruttate ?
- Come difendersi da esso ?
- Quali potrebbero essere le vittime o i bersagli ?
Costruisce un catalogo dei problemi ed un’analisi di essi, sviluppando così la capacità di predire tendenze nello sviluppo e funzionalità del codice malizioso.
CERT
Gestione incidenti (1)
Riceve rapporti sulla sicurezza dei computer collegati a internet
Tentativi di attacchi , scan
Attacchi avvenuti con successo
(denial of services, altro)
Nuovi tipi di attacchi (tools di un intruso)
Esamina tempestivamente le fonti di informazioni di internet per i problemi legati alla vulnerabilità (mailing list e siti web)
CERT
Gestione incidenti (2)
Fornisce una risposta immediata agli incidenti nei seguenti casi:
-Minacce o attacchi sulle infrastrutture internet
Root ed altri servers dns
infrastrutture di routing
maggiori siti di archivio
network access points (NAPs)
-diffusi attacchi automatici contro i siti internet
-nuovi tipi di attacchi o nuove vulnerabilità
-minacce o attacchi alle macchine del governo usa
CERT
Gestione incidenti (3)
Analizza i reports:
-Determina i metodi d’attacco
-Individua cosa si può apprendere da questo attacco:
. Nuovo tipo di attacco
. Cambiamento della frequenza del metodo d’attacco
. Necessità di nuove difese o contromisure
3
CERT
Gestione incidenti (4)
Informa la comunità internet circa:
Attività corrente
nuovi tipi di attacchi
scoperta e ripresa dagli attacchi
difesa dagli attacchi
Utilizzando come canale di comunicazione:
- Consultivi Cert -> note di incidenti e sommari
- Pagina dell’attività corrente su www.cert.org
- consigli tecnici ed altri documenti su www.cert.org
CERT
I principi
Il cert garantisce confidenzialità ed imparzialità,
essi non identificano vittime ma possono trasmettere le informazioni anonimamente e descrivere l’attività senza attribuirle ad una persona specifica.
Non vendendo servizi di consulenza o software il CERT garantisce informazioni fidate ed imparziali. Lavorano con venditori e altre persone senza considerare market capitalization, affilazione politiche e disponibilità di codice sorgente
CERTCanali di comunicazione
(PRIVATO)Ha centinaia di legami:
Ø619 contatti hardware e software
ØDozzine di esperti di sicurezza e di tecnologia
ØPiù di cento organizzazioni di governo e della sicurezza industriale
Verificato da procedure out-of-band
Usa comunicazione crittograficamente sicure
CERTCanali di comunicazione
(PUBBLICO)
Mailing list
del CERT/CC:
-161.000 indirizzi
-molti membri
Sono liste di
Redisteibuzione
Sito web del cert:
-Circa 500K hits al giorno, aumentano
durante i maggiori
eventi
News Media:
-interviste ogni mese
-info non pubblicate
tecnicamente
CERT
componenti CERT –Internet
Distribuzione globale:
> più di 171 milioni di computer host
Diversi utenti demografici:
>agenzie di governo
>istituzioni accademiche e di ricerca
>Utenti comuni
>home users
CERT
Incident Reports
4
CERT
Vulnerability reports