Post on 25-Jun-2015
description
transcript
Posta elettronica:
come difendere la propria eID
Smau 2014, Milano
23 ottobre 2014
Walter Russo
Technical director, Horus Informatica – Padiglione 1 Stand D33
walter.russo@horus.it
1
Definizione di identità elettronica
L’eID è l’insieme di attributi relativi ad una entità
(persona fisica, persona giuridica, ecc.).
Questi attributi possono essere informazioni
personali (Nome, Cognome, data di nascita),
informazioni relative al nostro profilo (indirizzo di
email, consenso privacy, abilitazioni a servizi,
ecc.).
Tra gli attributi, ve ne sono alcuni speciali
denominati credenziali: sono utilizzati per poter
accedere in modo sicuro ai servizi.
2
Definizione di ID-Theft (furto d’identità)
Si ha un furto d’identità ogni qualvolta
un’informazione individuale, relativa ad una
persona fisica o giuridica è ottenuta in modo
fraudolento da un criminale con l’intento di
assumerne l’identità per compiere atti illeciti.
3
Tipologie di frode
Identity cloning
Financial Identity Theft:
Criminal Identity Theft
Synthetic Identity Theft
Medical Identity Theft
Gosthing
Cyber bullismo
4
Metodologie di frode
Skimming
Siti internet
Phishing
Vishing o voice phishing
Spamming
Keylogging
Spoofing
5
Metodologie di frode
Pharming
• Sniffing
• Download
Trashing o bin raiding
• Dumpster diving
• Indirizzo di posta
Furto
• Contatti indesiderati
6
I danni causati dal furto di identità I sistemi di rilevazione di CRIF nel 2013 hanno rilevato più di 26.000 frodi
creditizie, per perdite economiche stimate complessivamente in 162 milioni
di Euro. Con un +8,3% rispetto all’anno precedente si conferma, quindi, un
trend in preoccupante crescita.
Tipologia di finanziamento oggetto di frode
7
Profilo delle vittime
Fonte: CRIF
8
Tempi di scoperta della frode?
Fonte: CRIF
9
Perché si cade nelle frodi? La scarsa conoscenza dei rischi da
parte dei cittadini, con la conseguente
ridotta tendenza a tutelarsi
adeguatamente, permette ai criminali di
accedere a informazioni personali e
riservate altrui attraverso documenti
cartacei o in formato digitale.
A questo si aggiungono le oggettive
difficoltà da parte degli istituti di credito
e, soprattutto, degli esercizi
commerciali nel verificare la reale
veridicità dei dati presentati al
momento della richiesta di un
finanziamento.
10
Per quali ragioni non si prendono precauzioni?
11
Fonte: Camera di commercio di Torino - Osservatorio Provinciale sulla Contraffazione
La prima linea di difesa del proprio eID
La conoscenza dei rischi e le tecniche usate per rubare la propria identità
Non fornire informazioni più di quanto non sia strettamente necessario ed
eventualmente scartare i servizi che ne chiedono troppe.
Usare più email: una principale da comunicare a poche persone e altre
per gestire i vari servizi online
Usare password differenti per differenti servizi e non scriverle su un foglio
di Word o Post-IT
Firmare digitalmente le comunicazioni con il protocollo standard s/mime in
modo tale da identificare se stessi ed eventualmente applicare la cifratura
se necessario
Utilizzare metodi di pagamento sicuri come per esempio PayPal che
rimborsa l’utente in caso di frode.
Utilizzare un valido antivirus, firewall e antispam
Utilizzare un sistema di cifratura dei dati
Non salvare le password nel browser
Chiedere – in caso di dubbio – sempre ad un esperto 12
Un esempio pratico: l’attributo PASSWORD
Scegliete un nome legato alla vostra vita.
Per esempio scegliamo “alassio”
Trasformate alcune lettere in numeri. “ala551o”
Aggiungete in testa o in coda un numero facile da ricordare, come
l’anno di nascita di un figlio o della fidanzata. “ala551o06”
Aggiungete un carattere speciale in testa o in coda.“ala551o06_”
Dopo il carattere speciale, aggiungete una o più lettere(magari
MAIUSCOLE) legate al servizio da proteggere con password.
“ala551o06_E” sarà la password delle email, “ala551o06_C” sarà quella
del computer e così via.
13
Tipologie di attacco
14
Tecniche di difesa (DDos)
15
452 Connection blocked by rate limit
Alert
admin
2 Conns in 10 min
1 2 3
Tecniche di difesa (DDos)
16
Alert
admin
Any User: 2 msgs in 10 min
1 2 3
452 Connection blocked by
account message rate limit
user1
a. Stop hacker using stolen account and password to send a lot of emails.
b. Detect abnormal sending behavior earlier.
Tecniche di difesa (Account Cracking)
17
Alert
User
User1 Login
Password Error
User1 Login
2 Login Failed in 10 min
1 2 3
Stop hacker guessing password via SMTP auth.
Block any IP using this account during smtp auth.
1.1.1.1
2.2.2.2
Tecniche di difesa (APT)
18
Tecniche di difesa contro attacchi web (WAF)
19
Firewalls/IPS cannot protect a web application from unknown threats
Traditional
Firewall
Web &
Application
Server Database
Server
Organization's IT network Unauthorized access blocked
WAF protection
WAF protection
Protects web-apps and web servers
from hackers
Positive protection model and No
Signature Tables
Intuitive website flow detector
Automatically adapts to website
changes
Protects against OWASP top 10
web-app vulnerabilities
SSL Offloading
Monitoring & Reporting
GRAZIE!
Walter Russo
Technical director, Horus Informatica – Padiglione 1 Stand D33
walter.russo@horus.it
20