Post on 05-Jul-2015
description
transcript
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Exploit in Ambiente di Sviluppo
Livelli di Sicurezza IDE nell'era del Cloud Computing
Andrea PatronCEO IPCop Italia
http://www.ipcopitalia.com
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
ANDREA PATRONhttp://www.andreapatron.com
CEO del sito IPCop Italia, la community dedicataalla distribuzione Linux Firewall più usata al mondo.Mi occupo di Informatica in generale ma nellaprecisione:
• Sviluppo e Programmazione di progetti Informatici attivi nel network e nelle reti delle infrastrutture aziendali, ed applicazioni web in generale, come Gestionali, CRM, CMS ecc.
• Amministrazione di sistemi ICT, concentrati al Network, alla consulenza per le reti e servizi dedicati
• Con Particolare attenzione alla sicurezza informatica e di indagini forensi attraverso il web
• Formazione ed E-Learning per gli attivisti del settore.
Con quest'anno il 2014, fondo la mia esperienza e
le mie competenze nell'ICT in un periodo ormai
consolidato di 20 anni.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
INTERNATIONAL WEBMASTERS ASSOCIATIONhttp://www.iwa.it
Partecipazioni Internazionali
partecipazioni nazionali
IWA è un'associazione internazionale
professionale no profit con lo scopo di
fornire informazioni per i professionisti del
web e dell'ICT.
Oltre che a condividere tra i professionisti
informazioni ed esperienze e buone
pratiche lavorative. Chi espone il marchio
IWA è certo di garantire l'impegno e di
perseguire le regole Etico professionali
definite da IWA.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Perché associarsi
INTERNATIONAL WEBMASTERS ASSOCIATIONhttp://www.iwa.it
IWA è la prima associazione che dal 1996 raggruppa chi lavora nel web, sia nel settore pubblico che privato. Obiettivo di IWA e creare una rete tra i soci, di parteciparne all'evoluzione e divulgare conoscenze tramite i suoi soci con eventi ed iniziative.
IWA Italy ha inoltre rilasciato i primi profili professionali (G3 Web Skill Profiles) in linea con i dettami dell'agenda digitale europea e italiana ed ha avviato accordi di collaborazione con realtà di tutela del lavoro. http://www.skillprofiles.eu
media partner
Con il supporto di
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
SCONTO PROMOZIONALE!!!
Quota speciale SMAU euro 50,00Potrai ottenere uno sconto sulla quota associativa che
pagherai euro 50,00 anziché euro 65,00. Lo sconto vale sia
per i nuovi soci che per i rinnovi. Per usufruire dello sconto
usa in fase di registrazione o rinnovo il seguente
promocode:
SMAUPADOVA2014
http://www.iwa.it/join
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Cosa parleremo in questo seminario?
• Daremo una terminologia corretta al Cloud Computing • Apriremo gli scenari Cloud delle Infrastrutture
aziendali.• Analizzeremo una serie di Livelli di Sicurezza
dell’infrastruttura.• Ne annoteremo le vulnerabilità specificando le minacce.• Daremo delle soluzioni generali a queste minacce.• Vedremo come strutturare l’ambiente di sviluppo
attraverso l’analisi di questi livelli di sicurezza.• Tracceremo alcune delle risposte e soluzioni per rendere la
nostra attività redditizia.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Viviamo nell’era del Cloud ComputingNegli scorsi seminari avevo tracciato un semplice schema di linea temporale dell'evoluzione di Internet. Fino a raggiungere il tempo attuale.
19701960
Continua >>
Nasce ARPANET
Rete a scopo militare
Diffusione ed altre Reti Private
Internet è nata circa negli anni '60, durante la Guerra fredda, all'epoca si chiamava ARPANet (Advanced Research Projects Agency) ed era strutturata a nodi, esclusivamente dislocata in USA per scopi militari e non altro.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Viviamo nell’era del Cloud Computing
Continua >>
1980 1990
BBS – Reti Private
Internet via Dial-up e ISDN
in Italia
Reti PubblichePrimi Siti
Istituzionali
Con l'evoluzione tecnologica negli anni 70, e definitivamente nella prima metà degli anni 80, grazie alla rivoluzione Informatica, ha trovato impiego in traffici di informazioni, presso le reti universitarie, dei campus, per poi distribuirsi in organi più compiessi e legati all'amministrazione pubblica fino a raggiungere poi cos' il nostro paese, anche per il Marketing e l'impression Brand.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Viviamo nell’era del Cloud Computing
2000 2010
EspansioneBanda Larga
AvventoWiFi
InternetMobile
Cloud Computing
Data
Social Networks
Poi arrivò la banda larga, la DSL, ed infine, si spera arrivi, la Cablata e fibra Ottica. Fino ad arrivare a Reti più complesse come il Clouding tuttora proiettato verso il Futuro.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Ma che cos'è realmente questo Cloud Computing?
“In informatica con il termine inglese cloud computing
(in italiano nuvola informatica) si indica un insieme di
tecnologie che permettono, tipicamente sotto forma di un
servizio offerto da un provider al cliente, di
memorizzare/archiviare e/o elaborare dati (tramite CPU
o software) grazie all'utilizzo di risorse hardware/software
distribuite e virtualizzate in Rete in un'architettura tipica
client-server.”
“La correttezza nell'uso del termine è contestata da molti esperti: se queste
tecnologie sono viste da alcuni analisti come una maggiore evoluzione
tecnologica offerta dalla rete Internet.”
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Contestazione nel termine
Quindi c'è una contestazione di fondo, perché il Cloud, è si una Evoluzione della Rete, ma alla fine si trasforma in una rimasticazione di definizioni di servizi di Networking tipici, virtualizzati in Hardware e Software.
Possiamo affermare che il Cloud non è unicamente un “Deposito di Dati e contenuti” al quale noi possiamo attingere da qualsiasi risorsa o periferica, PC, Tablet, Smartphone, ma si tratta nient'altro che di una rimasticazione di comuni servizi già in attivo da diverso tempo, concentrati in ben noti sistemi Hardware e Software Virtuali. Detto Cloud.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Contestazione nel termine! La Citazione!
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Contestazione nel termine! La Citazione!Secondo Richard Stallman la parola Cloud Computing è una rimasticazione di termini Informatici, coniati da profili Manageriali, per avallare decisioni di Marketing e di vendita nella rete informatica, valorizzando o meglio camuffando altri servizi che effettivamente sono di Dominio Pubblico.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Questo è il Cloud Computing?Dropbox, iCloud, Adobe Cloud ecc.. e tanti altri servizi offerti dai più noti ISP sono sempre in effetti “Servizi di Rete” dati a pagamento o a livello promozionale, comunque a fini di controllo Merceologico.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
I Server Virtuali, chiamti VPS, son sempre Cloud Computing
Si, ma la specifica parola server, sta a sottintendere che siete voi a redigere e controllare tali servizi e attendibilità di quel server, indipendentemente dal software che vi fanno utilizzare, come Plesk Cpannel o latri pannelli di controllo..
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Il Cloud Computing necessita di maggior controllo e sicurezzaDa quando son cresciuti ed evoluti, i servizi di Cloud, abbiamo visto impennare gli attacchi informatici attraverso la rete, non solo quelli specifici, ma di tutti i tipi.
14%23% 22%
91%100%
0
10
20
30
40
50
60
70
80
90
100
Crescita Attacchi Informatici al Clod Computing
Avvisi Vilnerabilità
Codice Corrotto, trojans,Exploit, Rootkit
Furti Identità, password,backdoors
Codice di sviluppo perMiobile
Attacchi DDoS diretti ISP
Dati Cisco Annual Security Report 2014 basati su Security Intelligence Operations (SIO)
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
56,4%43,6% Android
Tutti gli altriDispositivi
Il Cloud Computing necessita di maggior controllo e sicurezza
Dati Cisco Annual Security Report 2014 basati su Security Intelligence Operations (SIO)
Il Codice Mobile è il linguaggio di programmazione preso di mira più frequentemente dai criminali informatici. I dati provenienti da Sourcefire, indicano come gli exploit costituiscano la stragrande maggioranza (91%) degli indicatori di compromissione (IOC). Dispositivi Android maggiormente sotto attacco.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Controllo del Cloud ComputingQuando voi acquistate un servizio Cloud da un ISP, non ne possedete un vero controllo, perché i vostri dati risiedono in un apparecchi non di vostra competenza.
Ecco che il termine Controllo vi si ritorce contro, e vede i vostri dati sotto controllo da parte terzi, che in realtà, non sono in grado di mantenere il corretto sistema di sicurezza.
I dati che avete salvato nella “Nuvola” son realmente pubblici e soggetti continuamente ad attacchi, sia in via attiva che passiva.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Abbiamo già assistito a casi eclatanti di attacchiQuindi il livello di vulnerabilità dei nostri dati nel Cloud è molto alto, e tendenzialmente continuerà a salire. Inutile nascondere i fatti, partendo dalle non recenti notizie di attacchi informatici al Cloud, tutte le più grandi multinazionali son già state colpite.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Cloud Computing Toccasana per lo sviluppatore
Usare il termine Cloud Computing, vuol dire si anche condividere dati nella nuvola, ma importante è che questi dati siano circoscritti per un utilizzo privato e non pubblico.
L'uso del Cloud Computing, per gli sviluppatori è un toccasana per organizzare il proprio ambiente di sviluppo, ma è opportuno utilizzare accorgimenti importanti nello sfruttamento dello stesso.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
VPS e Diversificazione = Cloud ComputingLa struttura aziendale per quanto piccola o grande che sia, è sempre per forza collegata alla Rete attraverso una sua rete privata.
L’importanza della Diversificazione delle reti nell'infrastruttura, per aumentare il rendimento aziendale ma soprattutto la capacità di applicare il controllo sulle stesse.
Questa regola è ancora valida per il Cloud.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Cloud Computing as free TechnologyButtiamo i classici comodati d'uso, cerchiamo di essere più indipendenti e adottiamo il Cloud come reale evoluzione della rete. Sfruttiamo quindi la virtualità dei servizi che ci vengono messi a disposizione e cominciamo a produrre con il mostro Ambiente di Sviluppo.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Optate per soluzioni Open Source
Usate l'Open Source come tecnologia all'avanguardia. Solo con l'Open Source sarete comunque liberi da Licenze che vi impediscono di muovermi in modo proficuo, senza obblighi ne controlli da parte terzi.
Solo così potete avere un controllo diretto sui livelli di sicurezza della vostra infrastruttura.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Livelli di Sicurezza nell’Infrastruttura
Mostrando questo schema, partendo dal basso identificheremo e poi successivamente specificheremo, le minacce associate per livello e troveremo alcune delle soluzioni per controbatterle.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Primo Livello Fisico - Minacce
E contrariamente a quanto si possa pensare il furto degli HD o dei macchinari stessi sono una minaccia fisica reale, che molti non tengono in considerazione.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Primo Livello Fisico - Soluzione
Quindi l'utilizzo di un buon un sistema di antifurto non è certo da escludere, prendiamolo seriamente in considerazione.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Secondo Livello di Trasporto e Networking
I nostri servizi sono distribuiti attraverso appropriati protocolli, all'interno di Reti. E per private o meno che siano son sempre collegati a internet attraverso il nostro ISP.
ISP Router
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Livello di Trasporto - Minacce
Tra le principali minacce troviamo attacchi MITM. Se la nostra rete non è ben protetta è perseguibile di connessioni provenienti dall'esterno o da altri malintenzionati anche via WiFi. MITM, sta proprio all'acronimo Man In The Middle appunto, uomo che si intromette nel mezzo.
E con strumenti di accurate scansioni a Basso livello, sono in grado di contenersi alla nostra Rete e carpire tutti i dati ed il traffico da essa generato. Anche senza che noi ce ne accorgiamo.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Livello di Trasporto - SoluzionePer affrontare questo tipo di minacce, l'unica soluzione è di dotarsi di un apparecchio o anche servizio “Firewall UTM” ben strutturato per verificare, controllare ed impedire intrusioni di questo tipo, meglio se a monte dell'intera infrastruttura. Ovviamente se l'haker si trova internamente alla nostra struttura qui dobbiamo agire in modo diverso.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’ApplicativoQuesto è il livello più delicato dell'intera infrastruttura, si distribuisce in varie reti non unicamente quella privata LAN, ma anche in quella pubblica DMZ o che sia custodita per conto terzi. In questo livello le minacce da affrontare sono più variegate, e variano in funzione dell'applicazione o servizio che si sta utilizzando, su specifiche porte ICPM.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’ApplicativoAd esempio, per il Web tra Browser e Server Web http si usa la porta 80, per il web criptato la porta 443 Https, 3306 per MySql DB, 21 standard per l'FTP, 22 per i servizi SSH e così via. Queste porte sono assegnate di default da un'organizzazione internazionale (IANA) sulla base delle strutture delle applicazioni.
Porta 80
Porta 443
Porta 21
Servizio Server
Porta 22 Porta 3306
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo - MinacceSulla base di questa struttura, in questo particolare livello, gli hacker possono portare tutti gli attacchi che vogliono utilizzando particolari strumenti per lo scanning. Lo scanning è un processo di cicli di verifica o controllo, fatti sulla base di Indirizzi di rete IP, che gli hacker usano per identificare porte aperte nella nostra rete, consentendone quindi l'accesso ad altri tipi d'attacco, più a basso livello. Molti di questi attacchi provengono dalla Rete Internet o Darknet (per essere mantenuti anonimi), con accessi ai porte di maggiore utilizzo aperte di default, quale FTP, condivisione protocolli, Database, ecc.
• Attacchi DDoS• Phishing/Spam• Trojans• Virus• Brute Force• Scan port tought Bug
traking
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo - SoluzioniPer chiudere le porte e quindi mantenere un flusso di traffico blindato è bene utilizzare delle regole dettate da un Firewall (meglio se dotato anche di servizi di filtraggio UTM sia per il traffico in entrata che in uscita), il che controllato da noi, ci permette anche di monitorare ed affiancarne l'utilizzo per Servizi e le applicazioni interessate.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo - SoluzioniAd esempio sulle porte P2P, specifiche, usate da Torrent o Emule che siano, se aperte si possono acconsentire maggiorante a tipi di attacchi di troyans intrusion e malware. Lo stesso vale per i Browser, che in effetti rimangono gli applicativi i più attaccati, poiché la porta 80 Web è quella maggiormente utilizzata in vasta scala dai servizi.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Terzo Livello dell’Applicativo - SoluzioniStesso vale per i Server Web ed Applications Web, dove si vede la porta 80 maggiormente utilizzata. Ci costringono a tenerla aperta perché il nostro sito o applicazione possa operare in tranquillità, e qui ci porta alla comprensione del quarto ed ultimo livello.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo SviluppoUltimo e cruciale livello che effettivamente dobbiamo tener maggiorante in considerazione, perché si appoggia sulla base del nostro lavoro e sviluppo delle applicazioni, cuore dell'infrastruttura.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo SviluppoQui entrano in gioco le corrette competenze degli sviluppatori, che non devono far fronte ad una unica metodologia, ma con il diffondersi delle attuali tecnologie su larga scala, vediamo il proliferare e soprattutto l'affiancamento di nuove competenze e la diversificazione di altri profili professionali.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo SviluppoChiamarsi Webmaster o Web-designer, o Web-dev non ha alcun senso. Perché ora come ora anche il sottoscritto benché nel corso degli anni abbia acquisito una vasta esperienza sul campo, non può ricoprire ruoli e mansioni uniformemente compattate in un unico profilo.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo SviluppoSpesso quando si dice che “So Sviluppare... un sito, un'applicazione” lo si attribuisce ad una competenza di sola programmazione, quando in realtà il profilo deve essere a conoscenza di diversi linguaggi di programmazione, e alla fine non si sa realmente che cosa gli compete realmente.
• Chi dice di Saper fare tutto• Forse non sa
fare niente bene
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo SviluppoDunque con il livello di sviluppo si tirano in ballo gli sviluppatori, perché è alla creazione del codice che rimane l'ultima risorsa per gestire il livello di protezione di un'applicazione. Gli sviluppatori si distinguono principalmente in 2 categorie:
Il Surfista L’incollatore
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Il Surfista
E' quello cui piace cavalcare l'onda, non glie ne frega nulla di quanto tempo impiegherà per sviluppare un'applicazione perché comunque è bravo e conosce tutti i segreti di qualunque codice.
Tanto che può permettersi di scriverlo a mano con un semplice editor di testo, senza curarsi di che cosa gli si presenterà davanti all'utente finale.
Quarto Livello lo Sviluppo
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
L’IncollatoreChiamato così perché non avendo piene competenze di programmazione se non mediocri, impiega pochissimo a sviluppare un'applicazione perché gli basta fare Copia e Incolla da un altro codice sviluppato, o servirsi di strumenti già pronti per ottenere il risultato finale.
Spesso sfrutta programmi già pronti Open Source per poi rivendere il suo operato senza metterci un minimo di fatica o competenza, ne curandosi di che cosa si presenterà all'utente finale, perché tanto è già sicuro di quello che già gli risulterà dal programma.
Quarto Livello lo Sviluppo
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo SviluppoQuali tra queste 2 categorie funziona meglio?
Il Surfista L’incollatore
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo SviluppoNessuna delle 2. Perché nessuna tiene diretto controllo del suo operato o quanto meno ne ha veramente coscienza della sua reale mansione. Con l'evoluzione dell'ICT, ormai per ottenere un risultato finale ottimale, occorrono più competenze e gestione dei flussi di lavoro.
Il Surfista L’incollatore
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo - Minacce
Oltretutto questo livello di sicurezza è il più vulnerabile agli attacchi. Se osserviamo qui vediamo una lista di minacce più lunga rispetto ai precedenti.
Ovviamente un'applicazione operando sulla porta aperta risulta essere più soggetta ad attacchi. Spetta quindi allo sviluppatore adottare le soluzioni più efficaci, per reprimere questo disagio.
• Code Injection.• Malware code.• Snif code.• SQL Injection• Brute force• Rootkit• Exploit• Traceroute• Furto d'identità• Defacciamento siti• Fake Commerce
(danni alle vendite)• Altro
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo - SoluzioniSoluzione ottimale è la comprensione e consolidare la competenza dello sviluppatore, che deve mettersi in gioco per scrivere o modificare codice pulito per non renderlo soggetto ad eventuali attacchi.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Quarto Livello lo Sviluppo - SoluzioniQuindi prima di tutto, acquisizione delle giuste competenze in merito al codice da scrivere ma anche dalle soluzioni da adottare. Non basta inserire dei campi modulo per poi inviarli ad un'email con un semplice pulsante.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio praticoNello sviluppo di un'applicazione dove si deve mantenere un'area riservata, l'utente deve effettuare il login tramite le proprie credenziali, oppure effettuare la registrazione per ottenerle, per poter mandare feedback ai contenuti.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio praticoSemplice direte voi, basta un modulo di Login, un modulo di registrazione e poi un modulo di invio di contenuti. Ma come dev'essere scritto questo codice? Mi basta usufruire di Plugin o di codice già scritto da terzi? Oppure riscriverlo a mano impiegando la mia maestosa capacità nel linguaggio di programmazione?
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio praticoSe vogliamo tenere le distanze dalle minacce precedentemente elencate, è bene partire dalla base di quei livelli elencati prima. La soluzione è semplice.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio praticoPartiamo dal livello applicazione, dobbiamo tener aperte le porte 80 per il servizio Web e 3306 per la funzionalità della Base Dati (ok MySQL in questo caso). Quindi intervenire sull'autorizzazione specifica di accesso a tali dati.
Porta 80 WebServer
Porta 3306 MySQL DB
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio praticoOra domandiamoci: ci siamo preoccupati che l'accesso sia garantito esclusivamente al diretto interessato, e che nessun altro possa accedere alla Base dati dall'esterno?
Porta aperta 3306 MySQL DB
Le minacce di Brute Force sono sempre in agguato.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio pratico
Quindi, aprire e consentire accessi tramite autorizzazioni controllate ai servizi necessari, benché le porte siano aperte.
Porta Chiusa 3306 accesso dati MySQL DB Bloccato
Accesso Dati Consentito
Regola Firewall
Porta aperta 80 Webapp
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Esempio praticoOra abbiamo la porta 80 aperta doverosamente per il fruire del servizio Web. Nel Nostro caso, il codice se non è scritto accuratamente, può risultare vulnerabile su livello di Sviluppo, come abbiamo visto precedentemente ad attacchi SQL Injection o Code Injection.
Porta aperta 80 Webapp
Exploit dei Dati causa Iniezione codice malevolo
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Che cos'è una SQL Injection? E' un metodo di penetrazione nelle stringhe SQL dei Database, iniettando codice malevolo, per ottenere accessi exploit, rootkit o tanti altri. Il principio si basa sulla conoscenza approfondita delle scritture delle stringhe SQL, ecco un esempio pratico di iniezione SQL.
Consideriamo la seguente query:
SELECT * FROM Tabella WHERE username='$user' AND password='$pass'
$user e $pass sono impostate dall'utente e supponiamo che nessun controllo su di esse venga fatto. Vediamo cosa succede inserendo i seguenti valori:
$user = ' or '1' = '1
$pass = ' or '1' = '1
La query risultante sarà:
SELECT * FROM Tabella WHERE username='' or '1' = '1'
AND password='' or '1' = '1'
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Che cos'è una SQL Injection? Quindi se il codice non è scritto correttamente chiunque utilizzi i campi modulo Username e Password, sarà in grado di Iniettare codice nell’elaborazione delle Query.
Quindi i risultati dell’iniezione potrebbero essere pericolosi e rendere il codice vulnerabile:
Si possono ottenere Exploit di risultati dei dati o quanto altro il codice iniettato possa far risultare, come rootkit o portare al defacciamento del sito o dell’applicazione, se riscontrato da un Bug Traker.
Campo $_POST[‘$user’] = Codice Pericoloso a concatenarsi alla Query
Campo $_POST[‘$pass’] = Codice Pericoloso a concatenarsi alla Query
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Come evitare attacchi SQL Injection?Costruendo un modulo ben strutturato. Per fronteggiare un'eventualità tale la soluzione migliore si divide in diversi processi di scrittura del codice:
• Parametrizzate i valori, quindi
costruire query parametriche
(funzioni parametriche consentite)• Chiudere le stringhe query con le
giuste sintassi (;)• Criptare il codice da inviare al DB• Adottare Sistemi di Controllo con
algoritmi specifici
Ovviamente una volta che il codice ad esempio di una Password è criptato, per un brute force è molto più difficile poter risolvere e avere una risoluzione della stringa.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Livello di Sviluppo - SoluzioniPer fronteggiare tutte le minacce una ad una, ci si serve di diversi metodi, ma per spiegarlo qui adesso, vi devo delegare a seguire un corso specifico dei temi trattati.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Comprensione dei Livelli di SicurezzaLa comprensione dei livelli di sicurezza è importante per il corretto utilizzo di un'infrastruttura di sviluppo. Ecco perché suggerisco di non improvvisarsi sviluppatori o geni dello sviluppo, Producendo codice unicamente a mano, ma sfruttate la possibilità di poter utilizzare una ambiente già strutturato, i cosiddetti IDE (Interface Development Enviroment).
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Usate le Interface Development Enviroment
Quelli presentati qui sono un'ottima base di partenza, che permettono di rendere operativa e redditizia la vostra attività professionale. Alcuni sono Freeware altri a pagamento. Anche i frameworks aiutano parecchio, e una conseguente redditività deriva da un uso appropriato degli stessi.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Utilizzate il Cloud ComputingNel senso di virtualizzazione dell'infrastruttura Workstation. Sperimentate a pianificate scansioni della vostra infrastruttura utilizzando strumenti adatti. E se utilizzate servizi distribuiti da terzi ISP, confrontate e verificate adeguatamente l'infrastruttura e che i Vostri dati siano ben sigillati e non resi vulnerabili. Se proprio volete condividerli pubblicamente al massimo utilizzate dei Servizi VPN certificati, senza avvalervi di ulteriori Host pubblici disastrosamente materializzati o camuffati da servizi di Cloud Computing.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Prendete il controllo dell’Ambiente di SviluppoDovete essere voi gli artefici dell'infrastruttura configurata secondo le vostre esigenze, senza delegare altri al possesso dei Vostri dati sensibili.Si ottengono più risultati mantenendo e condividendo i dati in “Casa” che renderli pseudo pubblici.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Lo stesso vale per gli ambienti di sviluppo.
Sfruttate la virtualità dell'infrastruttura di servizio per lo sviluppo, nelle Vostre Workstation, e successivamente nella valutazione dei servizi preposti alle applicazioni, verificando le corrette configurazioni e vulnerabilità, pubblicate i contenuti e i dati secondo le Vostre opportune esigenze.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
E-Learning ApprofonditoPer apprendere al meglio come sfruttare correttamente la tecnologia del Cloud Computing, vi suggerisco di iscrivervi alla Nostra piattaforma di E-learning.Dove a breve saranno presentate nuove serie di corsi e Workshop, non solo sul tema della Sicurezza informatica ma anche sui temi dell'utilizzo delle Infrastrutture di rete e su come rendere redditizie le proprie Strutture aziendali, restando a passo con l'evoluzione dell'ICT.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Piattaforma di E-Learning – Corsi ICT
Piattaforma E-Learning su core Docebo® , con lo
scopo di Informare ed informatizzare le PMI on line
sul mondo dell’ICT, attraverso:
http://corsi.ipcop.pd.it
PROCEDURA
• Registrazione GRATUITA Piattaforma
• Iscrizione Corso, Workshop o Webinar
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Lista dei Corsi, Webinar e Workshop - ICT
• Corsi Formativi e Tecnici• Seminari (Webinar)• Workshop on-line
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Corsi Certificati Grazie a IWA Italy
I Corsi della Nostra Piattaforma sono certificati per i profili professionali europei ICT di terza generazione (Web Skill Profiles) appartenenti al settore del Web, basandosi sul documento “European ICT Professional Profiles (CWA 16458:2012)” e sui documenti relativi a “E-Competence Framework 2.0” (EC-F 2.0) estesi a livello mondiale coni IWA/HWG, e riconosciuti come realtà di standardizzazione dal CEN.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Anteprima Assoluta – Nuovo Corso
A breve sarà disponibile il Corso “Amministratore di rete con IPCop Seconda Edizione”.
Tutti gli attuali partecipanti che si sono iscritti o che si iscrivono all’attuale versione del corso 1.4.21, saranno migrati GRATUITAMENTE alla SECONDA EDIZIONE 2.1, senza costi aggiuntivi, e potranno godere dell’offerta limitata:
“Amministratore di rete con IPCop Seconda Edizione”
al prezzo bloccato di € 99,90 anziché di € 256,00 all’avvio del Nuovo Corso di SECONDA EDIZIONE.
Exploit in Ambiente di SviluppoLivelli di Sicurezza IDE nell’Era del Cloud Compuing
http://www.ipcopitalia.com
Grazie a tutti Voi per aver Partecipato
Ringraziamento Speciale a Giacomo e NenaPer il loro supporto e sostegno.
Aula Virtuale IPCop ItaliaAndrea Patron – CEO IPCop Italia
http://www.ipcop.pd.it – http://corsi.ipcop.pd.it
Seguiteci sui maggiori Social Networks