Giorgio Sbaraglia copyndash2017 1
Ordine degli Architetti PPC di Forligrave - Cesena APPA Associazione Progetto Promozione Architettura
in collaborazione con
15 MAGGIO 2017 A cura di GIORGIO SBARAGLIA
wwwgiorgiosbaragliait
La presente documentazione egrave sottoposta alla licenza sul diritto drsquoautore Creative Common CC BY-NC-NDEgrave permessa la ridistribuzione solo in forma intera ed invariata citando espressamente lrsquoautoreNon puograve essere modificata o distribuita commercialmenteQualsiasi utilizzo diverso dalla succitata licenza potragrave essere fatto solo previa richiesta allrsquoautore Giorgio Sbaraglia (giorgiogiorgiosbaragliait)
2Giorgio Sbaraglia copyndash2017
This work is licensed under the Creative Commons Attribution-NonCommercial-NoDerivatives 40 International License To view a copy of this license visit httpcreativecommonsorglicensesby-nc-nd40 or send a letter to Creative Commons PO Box 1866 Mountain View CA 94042 USA
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Corollario (informaticohellip) alla Legge di Murphy
3
Non importa chi seiNon importa cosa fai
Non importa con cosa lo faiPrima o poi ti attaccheranno
(cit Alessio Pennasilico - CLUSIT)
TUTTO CIOgrave CHE PUOgrave ESSERE ATTACCATO LO SARAgrave
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
ldquoMa cosa ci guadagnano ad attaccare proprio il mio computer Non crsquoegrave nulla che possa interessarehelliprdquo
SbagliatoPensare di non essere un bersaglio appetibile significa non pensare alla sicurezza dei propri sistemi informatici e quindi diventare di fatto un bersaglio facile
Un errore troppo frequente
4
wwwgiorgiosbaragliait
Un errore troppo frequente
5Giorgio Sbaraglia copyndash2017
Non egrave necessario essere un
BERSAGLIO
per diventare una
VITTIMA
(di un cyber attacco)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Agenda
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
6
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Il FATTURATO del CYBERCRIME ha superato quello del traffico di DROGA
7
wwwgiorgiosbaragliait 8Giorgio Sbaraglia copyndash2017
Rapporto Clusit 2017 lItalia preda degli hacker
Attacchi compiuti con tecniche di Phishing e
Social Engineering+1166
wwwgiorgiosbaragliait
Rapporto 2017Il 2016 egrave stato lrsquoanno peggiore di sempre in termini di evoluzione delle minacce ldquocyberrdquo e dei relativi impatti
9Giorgio Sbaraglia copyndash2017
Cybercrime (Ransomware ecc) 72 del totale +98
Cyber warfare +117 Hacktivism -23 Health (sanitagrave) egrave il settore con la
crescita maggiore (+102) 230000 malware creati ogni
giorno
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
La presente documentazione egrave sottoposta alla licenza sul diritto drsquoautore Creative Common CC BY-NC-NDEgrave permessa la ridistribuzione solo in forma intera ed invariata citando espressamente lrsquoautoreNon puograve essere modificata o distribuita commercialmenteQualsiasi utilizzo diverso dalla succitata licenza potragrave essere fatto solo previa richiesta allrsquoautore Giorgio Sbaraglia (giorgiogiorgiosbaragliait)
2Giorgio Sbaraglia copyndash2017
This work is licensed under the Creative Commons Attribution-NonCommercial-NoDerivatives 40 International License To view a copy of this license visit httpcreativecommonsorglicensesby-nc-nd40 or send a letter to Creative Commons PO Box 1866 Mountain View CA 94042 USA
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Corollario (informaticohellip) alla Legge di Murphy
3
Non importa chi seiNon importa cosa fai
Non importa con cosa lo faiPrima o poi ti attaccheranno
(cit Alessio Pennasilico - CLUSIT)
TUTTO CIOgrave CHE PUOgrave ESSERE ATTACCATO LO SARAgrave
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
ldquoMa cosa ci guadagnano ad attaccare proprio il mio computer Non crsquoegrave nulla che possa interessarehelliprdquo
SbagliatoPensare di non essere un bersaglio appetibile significa non pensare alla sicurezza dei propri sistemi informatici e quindi diventare di fatto un bersaglio facile
Un errore troppo frequente
4
wwwgiorgiosbaragliait
Un errore troppo frequente
5Giorgio Sbaraglia copyndash2017
Non egrave necessario essere un
BERSAGLIO
per diventare una
VITTIMA
(di un cyber attacco)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Agenda
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
6
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Il FATTURATO del CYBERCRIME ha superato quello del traffico di DROGA
7
wwwgiorgiosbaragliait 8Giorgio Sbaraglia copyndash2017
Rapporto Clusit 2017 lItalia preda degli hacker
Attacchi compiuti con tecniche di Phishing e
Social Engineering+1166
wwwgiorgiosbaragliait
Rapporto 2017Il 2016 egrave stato lrsquoanno peggiore di sempre in termini di evoluzione delle minacce ldquocyberrdquo e dei relativi impatti
9Giorgio Sbaraglia copyndash2017
Cybercrime (Ransomware ecc) 72 del totale +98
Cyber warfare +117 Hacktivism -23 Health (sanitagrave) egrave il settore con la
crescita maggiore (+102) 230000 malware creati ogni
giorno
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Corollario (informaticohellip) alla Legge di Murphy
3
Non importa chi seiNon importa cosa fai
Non importa con cosa lo faiPrima o poi ti attaccheranno
(cit Alessio Pennasilico - CLUSIT)
TUTTO CIOgrave CHE PUOgrave ESSERE ATTACCATO LO SARAgrave
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
ldquoMa cosa ci guadagnano ad attaccare proprio il mio computer Non crsquoegrave nulla che possa interessarehelliprdquo
SbagliatoPensare di non essere un bersaglio appetibile significa non pensare alla sicurezza dei propri sistemi informatici e quindi diventare di fatto un bersaglio facile
Un errore troppo frequente
4
wwwgiorgiosbaragliait
Un errore troppo frequente
5Giorgio Sbaraglia copyndash2017
Non egrave necessario essere un
BERSAGLIO
per diventare una
VITTIMA
(di un cyber attacco)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Agenda
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
6
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Il FATTURATO del CYBERCRIME ha superato quello del traffico di DROGA
7
wwwgiorgiosbaragliait 8Giorgio Sbaraglia copyndash2017
Rapporto Clusit 2017 lItalia preda degli hacker
Attacchi compiuti con tecniche di Phishing e
Social Engineering+1166
wwwgiorgiosbaragliait
Rapporto 2017Il 2016 egrave stato lrsquoanno peggiore di sempre in termini di evoluzione delle minacce ldquocyberrdquo e dei relativi impatti
9Giorgio Sbaraglia copyndash2017
Cybercrime (Ransomware ecc) 72 del totale +98
Cyber warfare +117 Hacktivism -23 Health (sanitagrave) egrave il settore con la
crescita maggiore (+102) 230000 malware creati ogni
giorno
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
ldquoMa cosa ci guadagnano ad attaccare proprio il mio computer Non crsquoegrave nulla che possa interessarehelliprdquo
SbagliatoPensare di non essere un bersaglio appetibile significa non pensare alla sicurezza dei propri sistemi informatici e quindi diventare di fatto un bersaglio facile
Un errore troppo frequente
4
wwwgiorgiosbaragliait
Un errore troppo frequente
5Giorgio Sbaraglia copyndash2017
Non egrave necessario essere un
BERSAGLIO
per diventare una
VITTIMA
(di un cyber attacco)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Agenda
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
6
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Il FATTURATO del CYBERCRIME ha superato quello del traffico di DROGA
7
wwwgiorgiosbaragliait 8Giorgio Sbaraglia copyndash2017
Rapporto Clusit 2017 lItalia preda degli hacker
Attacchi compiuti con tecniche di Phishing e
Social Engineering+1166
wwwgiorgiosbaragliait
Rapporto 2017Il 2016 egrave stato lrsquoanno peggiore di sempre in termini di evoluzione delle minacce ldquocyberrdquo e dei relativi impatti
9Giorgio Sbaraglia copyndash2017
Cybercrime (Ransomware ecc) 72 del totale +98
Cyber warfare +117 Hacktivism -23 Health (sanitagrave) egrave il settore con la
crescita maggiore (+102) 230000 malware creati ogni
giorno
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Un errore troppo frequente
5Giorgio Sbaraglia copyndash2017
Non egrave necessario essere un
BERSAGLIO
per diventare una
VITTIMA
(di un cyber attacco)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Agenda
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
6
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Il FATTURATO del CYBERCRIME ha superato quello del traffico di DROGA
7
wwwgiorgiosbaragliait 8Giorgio Sbaraglia copyndash2017
Rapporto Clusit 2017 lItalia preda degli hacker
Attacchi compiuti con tecniche di Phishing e
Social Engineering+1166
wwwgiorgiosbaragliait
Rapporto 2017Il 2016 egrave stato lrsquoanno peggiore di sempre in termini di evoluzione delle minacce ldquocyberrdquo e dei relativi impatti
9Giorgio Sbaraglia copyndash2017
Cybercrime (Ransomware ecc) 72 del totale +98
Cyber warfare +117 Hacktivism -23 Health (sanitagrave) egrave il settore con la
crescita maggiore (+102) 230000 malware creati ogni
giorno
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Agenda
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
6
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Il FATTURATO del CYBERCRIME ha superato quello del traffico di DROGA
7
wwwgiorgiosbaragliait 8Giorgio Sbaraglia copyndash2017
Rapporto Clusit 2017 lItalia preda degli hacker
Attacchi compiuti con tecniche di Phishing e
Social Engineering+1166
wwwgiorgiosbaragliait
Rapporto 2017Il 2016 egrave stato lrsquoanno peggiore di sempre in termini di evoluzione delle minacce ldquocyberrdquo e dei relativi impatti
9Giorgio Sbaraglia copyndash2017
Cybercrime (Ransomware ecc) 72 del totale +98
Cyber warfare +117 Hacktivism -23 Health (sanitagrave) egrave il settore con la
crescita maggiore (+102) 230000 malware creati ogni
giorno
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
Il FATTURATO del CYBERCRIME ha superato quello del traffico di DROGA
7
wwwgiorgiosbaragliait 8Giorgio Sbaraglia copyndash2017
Rapporto Clusit 2017 lItalia preda degli hacker
Attacchi compiuti con tecniche di Phishing e
Social Engineering+1166
wwwgiorgiosbaragliait
Rapporto 2017Il 2016 egrave stato lrsquoanno peggiore di sempre in termini di evoluzione delle minacce ldquocyberrdquo e dei relativi impatti
9Giorgio Sbaraglia copyndash2017
Cybercrime (Ransomware ecc) 72 del totale +98
Cyber warfare +117 Hacktivism -23 Health (sanitagrave) egrave il settore con la
crescita maggiore (+102) 230000 malware creati ogni
giorno
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 8Giorgio Sbaraglia copyndash2017
Rapporto Clusit 2017 lItalia preda degli hacker
Attacchi compiuti con tecniche di Phishing e
Social Engineering+1166
wwwgiorgiosbaragliait
Rapporto 2017Il 2016 egrave stato lrsquoanno peggiore di sempre in termini di evoluzione delle minacce ldquocyberrdquo e dei relativi impatti
9Giorgio Sbaraglia copyndash2017
Cybercrime (Ransomware ecc) 72 del totale +98
Cyber warfare +117 Hacktivism -23 Health (sanitagrave) egrave il settore con la
crescita maggiore (+102) 230000 malware creati ogni
giorno
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Rapporto 2017Il 2016 egrave stato lrsquoanno peggiore di sempre in termini di evoluzione delle minacce ldquocyberrdquo e dei relativi impatti
9Giorgio Sbaraglia copyndash2017
Cybercrime (Ransomware ecc) 72 del totale +98
Cyber warfare +117 Hacktivism -23 Health (sanitagrave) egrave il settore con la
crescita maggiore (+102) 230000 malware creati ogni
giorno
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
10
Agenda
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web (aka Hidden Web) indica lrsquoinsieme dei contenuti presenti sul web e non indicizzati dai comuni motori di ricerca (ad es Google Bing)Dark Web invece indica lrsquoinsieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP egrave nascosto ma ai quali chiunque puograve accedere purcheacute ne conosca lrsquoindirizzo (cit Rapporto CLUSIT 2016)
Deep Web e Dark Web
11Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Deep Web e Dark Web
12Giorgio Sbaraglia copyndash2017
Lrsquoopposto del Deep Web si chiama SurfaceWeb (o Visible Web o Indexed Web)Il Dark Web egrave quella parte del Deep Web che sfrutta le Darknet Per accedervi sono necessarie particolari configurazioni ed autorizzazioniLe principali Darknet sono Freenet I2P e TOR (The Onion Router)TOR egrave stato creato negli anni rsquo90 nei laboratori della Marina Militare USA Nel 2006 egrave stato rilasciato come SW di pubblico dominio
Quanto egrave grande il Deep Web Impossibile saperlo ma si ritiene che sia 400-500 volte piugrave grande del Surface Web Le pagine indicizzate da Google sono 30000000000000 (30000 Miliardi) dato ricavato da wwwstatisticbraincom (anno 2014) per un totale di dati indicizzati di oltre 100000000 GBMoltiplichiamo quindi questi numeri per 400-500 volte
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
La quotazione del BITCOIN
Giorgio Sbaraglia copyndash2017
httpsbitcoinityorgmarkets
Quotazione 1690 USDBTC pari a 1497 euroBTC (al 09052017 ore 0030)
13
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
14
Agenda
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
I RANSOMWARE
15Giorgio Sbaraglia copyndash2017
Categoria Trojan horse crittografico Scopo ESTORSIONE 85 delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee)LrsquoItalia egrave protagonista subisce circa il 7 degli attacchi effettuati nel mondo con aumento nel 2016 del 120 rispetto al 2015LrsquoItalia egrave il secondo paese piugrave colpito nel mondo (dopo USA)Nel 2016 su 62 famiglie di crypto ransomware scoperte 47 sono state sviluppate da cybercriminali russi (pari al 75)I piugrave recenti oltre a criptare i file fanno Upload (per rivenderli)
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
I RANSOMWARE
16Giorgio Sbaraglia copyndash2017
Le campagne di spam per la diffusione di Ransomware riescono ad aggirare i sistemi antispam con una efficacia di circa il 20Il numero di utenti che effettivamente cade vittima del ransomware egrave di circa il 3 del totaleRiscatto richiesto da poche centinaia di euro fino a diverse migliaia Nellrsquo81 dei casi il riscatto non supera i 1000 euroRiscatto in Bitcoin (o altra criptovaluta)Meno di un incidente su 4 viene denunciato alle autoritagrave
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE i vettori drsquoinfezione
Giorgio Sbaraglia copyndash2017
I vettori drsquo infezione uti l izzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware1 Email di phishing il piugrave diffuso oltre il 75 degli attacchi egrave
portato con messaggi di posta elettronica2 Navigazione su siti compromessi il cosiddetto ldquodrive-by
downloadrdquo da siti nei quali sono stati introdotti exploit kit che sfruttano vulnerabilitagrave dei browser di Flash Player o altri
3 Allrsquointerno (in bundle) di altri software che vengono scaricati per esempio programmi gratuiti che ci promettono di ldquocrackarerdquo software costosi per utilizzarli senza pagare
4 Attacchi attraverso desktop remoto (RDP) attacchi con furto di credenziali per accedere ai server e prenderne il controllo Sono i piugrave gravi (es LOKMANNKEY993)
17
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
La gran parte delle vittime sono aziende manifatturiere pubbliche o attivitagrave professionali Oltre il 75 dei vettori di attacco egrave legato ai messaggi di posta elettronica E oltre il 90 di tutte le email di phishing sono finalizzate al RANSOMWARE (fonte Verizon Data Breach Report 2015)
18
RANSOMWARE i vettori drsquoinfezione
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
E-mail ldquomalignerdquo
19Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
CryptoLocker non egrave un malware
egrave un DISASTRO
RISULTATO CRYPTOLOCKER
20Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
POPCORN pagare o infettare qualcun altro
21Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
RANSOMWARE come attacca
22Giorgio Sbaraglia copyndash2017
Lrsquoutente riceve email (Phishing) con un allegato o un link
Antispam non la blocca
Allegato contiene un file eseguibile (exe com scr js vbs) o un file (doc xls ecc)
contenente una macro
Utente clicca su link o allegato ed attiva il
TROJAN
Antivirus NON blocca
lrsquoeseguibile
Lrsquoagent trojan (ldquodropper) si collega ad un server CampC invia info poi scarica il malware e la chiave pubblica di criptazione
Il malware agisce chiude i processi di sistema importanti elimina tutti i punti di ripristino del sistema cancella le ldquoshadow copiesrdquo di Windows cripta i file Office pdf cad db img audio video fa questo sullrsquoHD e sui dischi collegati in rete
Compare un messaggio con la
RICHIESTA DI RISCATTO
in Bitcoin (BTC) e le istruzioni per pagarlo
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 23
11) Non aprire mai gli allegati di email di dubbia provenienza2) Fare attenzione alle email provenienti anche da indirizzi
noti (potrebbero essere stati hackerati)3) Abilitare lrsquoopzione ldquoMostra estensioni nomi filerdquo nelle
impostazioni di Windows4) Disabilitare la riproduzione automatica (ldquoautorunrdquo) di
chiavette USB CDDVD e altri supporti esterni5) Disabilitare lrsquoesecuzione di macro da parte di
componenti Office (Word Excel PowerPoint ecchellip)6) Non aprire link provenienti da WhatsApp o Facebook se
non si egrave certi del mittente (vedi ldquoSocial Engineeringrdquo)7) Attenzione a cliccare su banner in siti non sicuri8) Backup frequente dei dati (vedere ldquoBackup strategyrdquo)9) Programmi Antimalware (antivirus) sempre aggiornati10)Utilizzare password univoche e complesse
RANSOMWARE come difendersi
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 24
211)Disabilitare Adobe Flash Javascript (o comunque tenerli
aggiornati per evitare attacchi ldquodrive-by downloadrdquo)12)Aggiornare sempre i browser (e anche le ldquoestensionirdquo)13)Evitare il jailbreak di dispositivi iOS e il rooting di quelli
Android E PER LE AZIENDE
14)Formare il personale non sottovalutare fattore umano15)Utilizzare account senza diritti da amministratore oppure
usarli per lo stretto necessario16)Installare servizi Antispam efficaci ed evoluti17)Network Access Control (NAC) creare reti aziendali
ldquoGuestrdquo per ospiti visitatori18)Implementare soluzioni di tipo ldquoUser Behavior Analytics
(UBA) sulla rete aziendale (analisi anomalie traffico web)19)Implementare sistemi di Sandboxing
Giorgio Sbaraglia copyndash2017
RANSOMWARE come difendersi
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Ho preso un Ransomware cosa faccio ora
25Giorgio Sbaraglia copyndash2017
Le opzioni sono quattro 1 Ripristinare i file da un backup (la soluzione
migliore)2 Cercare un ldquodecryptorrdquo in rete per decriptare
i file (funziona solo in alcuni casi)3 Non fare nulla e perdere i propri dati4 Pagare il Riscatto (ldquoRansomrdquo)
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
1) Ripristinare i file da un backup
26Giorgio Sbaraglia copyndash2017
1 Individuare QUALE Egrave la macchina colpita (il cosiddetto ldquopaziente zerordquo)
2 Procedere ad una BONIFICA della macchina (o delle macchine) infettate
3 Ripristinare i file da un backup (che sia disponibile recente e funzionante)
4 In mancanza di un backup si puograve tentare recupero dal Cloud o dalle Shadow Copies di Windows (se il malware non le ha cancellate)
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
2) Cercare un ldquodecryptorrdquo in rete
27Giorgio Sbaraglia copyndash2017
1 Individuare il tipo di ransomware che ha colpito in genere lrsquoattaccante ce lo comunica (assieme alla richiesta di riscatto)
2 Tentare una ricerca in rete per cercare il decryptor relativo al ransomware specifico
3 Questa opzione ha basse probabilitagrave di successo (praticamente nessuna se la cifratura egrave stata fatta con algoritmi di crittografia forte come AES 256 Salsa20 o altri) ma puograve valere comunque la pena di provare
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3) Non fare nulla e perdere i dati
28Giorgio Sbaraglia copyndash2017
1 Togliere comunque dalla macchina il disco con i file compromessi e metterlo da parte potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file che potrebbero essere recuperati Potrebbero passare mesi ma potrebbe accaderehellip
2 Oppure (per lo stesso motivo) fare un backup dei file crittografati e poi bonificare comunque la macchina
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
4) Pagare il Riscatto (ldquoRansomrdquo)
29Giorgio Sbaraglia copyndash2017
1 Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto
2 Individuare un sito che faccia ldquoexchangerdquo di Bitcoin aprire un account ed acquistare i Bitcoin per il pagamento
3 Installare un browser TOR (httpwwwtorprojectorg) 4 Con TOR accedere al sito indicato dagli
hacker (nel Dark Web)5 Pagare il riscatto6 Aspettare e sperarehellip
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
30Giorgio Sbaraglia copyndash2017
Egrave lecito per la vittima pagare il riscatto
Sigrave in presenza di una condotta estorsiva il soggetto passivo si configura quale vittima Inoltre lrsquoestorsione non pregiudica la vita o lrsquoincolumitagrave di una persona fisica bensigrave di un proprio beneUnico caso in cui egrave perseguibile sequestro di persona per scopo drsquoestorsione ex art 1 legge 15 marzo 1991 n 82 in forza del quale puograve essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Implicazione giuridiche per le vittime dei Ransomware
31Giorgio Sbaraglia copyndash2017
SE CHI PAGA Egrave LrsquoAZIENDA DLgs 2312001 Responsabilitagrave amministrativa delle societagrave e degli entirdquo qualora i reati siano commessi nellinteresse o a vantaggio di questi ci sono altri aspetti da valutarebull Reati Societari (se la cifra per il riscatto egrave stata accantonata
tramite false comunicazioni sociali impedito controllo ostacolo allrsquoesercizio delle funzioni delle autoritagrave di vigilanza)
bull Autoriciclaggio se il pagamento proviene da illecito illecito (es reato di evasione fiscale)
bull Finanziamento della criminalitagrave organizzata (il riscatto va chiaramente a finanziare la criminalitagrave organizzata)
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
32
Agenda
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 33
Cosegrave il social engineering (human hacking) Semplicemente (cit Paolo Attivissimo)ldquoFREGARE IL PROSSIMO CON LA PSICOLOGIArdquo Scopo degli aggressori egrave indurre lutente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandiIl social engineering egrave fatto apposta per aggirare Antivirus Firewall ecc quando il sistema non ha bugs da sfruttare si punta sulle debolezze e sulla curiositagrave delle persone Per evitare truffe di questo tipo che sono diffusissime non fidarsi mai dei link contenuti allinterno dei messaggi percheacute possono essere falsificati in mille modi
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 34
Il social engineering fa leva sulle ldquovulnerabilitagraverdquo umane
AutorevolezzaColpaPanicoIgnoranzaDesiderioAviditagraveCompassione e buoni sentimenti
Il SOCIAL ENGINEERING
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 35
PHISHING ldquopesca a strascicordquo mediante email Il 93 delle email contiene Ransomware e circa il 10 di queste riesce nellrsquointento di ingannare lrsquoutente
SPEAR PHISHING l rsquooggetto del l rsquoattacco viene accuratamente selezionato Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le email inviate sono preparate ad hoc per catturarne lrsquoattenzione ed indurle in errore
WATERING HOLE ldquolrsquoabbeveratoiordquo I criminali infettano i siti piugrave visitati dalle potenziali vittime In questo caso muta lo scenario poicheacute egrave la vittima ad andare nel sito infetto e non lrsquoattaccante a sollecitarne la visita attraverso una email Sono gli attacchi (drive-by download) piugrave subdoli e difficili da individuare
Phishing Spear Phishing e Watering Hole
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
36
Agenda
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
2016 il sorpasso del Mobile sul fisso
37Giorgio Sbaraglia copyndash2017
Ad Ottobre 2016 il traffico Internet da Mobile ha superato - per la prima volta - quello da fisso Questo egrave vero soprattutto nei paesi meno sviluppati non lo egrave (ancora) in Europa ed in USA
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Malware su devices Android
38Giorgio Sbaraglia copyndash2017
Fonte G Data Security Labs nei primi 3 mesi del 2017 rilevati 750000 nuovi malware Android uno ogni 10 secondi per 8400 app dannose al giorno
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
39Giorgio Sbaraglia copyndash2017
Per il cybercrime egrave piugrave utile spiare il dispositivo piuttosto che rubarlo
SPYWARE egrave unrsquoapplicazione di monitoraggio (spionaggio) che viene installata su uno smartphone allrsquoinsaputa del proprietario Puograve essere installata 1) con accesso diretto al dispositivo 2) da remoto le tecniche per riuscire ad installare lrsquoapp (con tutti i permessi necessari) passano ancora una volta attraverso il phishing il social engineering e la navigazione Web Spesso viene usato lo spoofing per scrivere a nome di un amico collega che consiglia lrsquoutilizzo una ldquostupendardquo app Analogamente a come avviene per i Ransomware si spinge la vittima ad installare unrsquoapp
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
40Giorgio Sbaraglia copyndash2017
Tramite la connettivitagrave lo spyware invia allrsquoesterno una serie di informazioni bull Rubrica telefonica e email bull SMS ricevuti bull Contenuto della casella di posta bull Storico delle chat (es WhatsApp) bull Registrazioni audio bull Registrazioni video bull Immagini da fotocamera bull Tutto ciograve che viene digitato bull Ogni file presente in memoria
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Gli SPYWARE su smartphone
41Giorgio Sbaraglia copyndash2017
Inoltre lo spyware puograve prendere il controllo ed avviare funzioni (allrsquoinsaputa dellrsquoutente) quali bull telefonate bull SMS bull chat bull email
La violazione di uno smartphone oggi puograve essere potenzialmente piugrave grave e pericolosa
di quella di un PC
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
42
Agenda
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Un grande punto debole le Password
43Giorgio Sbaraglia copyndash2017
Le password deboli sono la causa del 63 delle violazioni degli account(Fonte Verizon Data Breach Investigations Report 2016)
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Ma le persone continuano ad usare password molto banalihellip
La classifica delle password piugrave utilizzate nel mondo (ed anche le peggiori) nel 2016 (Fonte SPLASH DATA azienda statunitense specializzata in software di gestione di password che ha esaminato dati che contenevano oltre 33 milioni di parole chiave rubate)
44
1 123456 (al primo posto dal 2013)2 password3 123454 123456785 football6 qwerty7 12345678908 1234567
9 princess10 123411 login12 welcome13 solo14 abc12315 admin16 121212
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le password piugrave usate nel mondo negli ultimi anni
45Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 46
Oggi gli Hacker hanno mezzi molto potenti
Computer super potenti possono provare MOLTI MILIONI di passwords al secondo
ldquoI computer piugrave veloci sono in grado di calcolare e testare piugrave di due miliardi di chiavi al secondordquo (Claudia Eckart direttore Fraunhofer Institute for Applied e Integrated Security)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
tutta la sicurezza del nostro Account dipende dalla FORZA della PASSWORD
Giorgio Sbaraglia copyndash2017
I nostri Account
Ogni Account egrave formato da1 Username 2 Password
Poicheacute lo Username coincide quasi sempre con il nostro Indirizzo E-mail (che egrave un dato pubblico e conosciuto)
47
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Caratteristiche di una PASSWORD
Giorgio Sbaraglia copyndash2017
1 NUMERO di caratteri usati da 1 a 20 (non serve andare oltre)2 TIPI di caratteri usati
Numeri (0-9) = 10Lettere (a-z A-Z) = 52 (26 minusc + 26 maiusc)
caratteri speciali da tastiera ( amp^ ecc) = 33
TOTALE = 95 caratteri (codici ASCII dal 32 al 126)
Purtroppo in alcuni siti ndash irragionevolmente - vengono imposte delle LIMITAZIONI al numero dei caratteri e NON sono permessi i caratteri speciali
48
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 49
Quante sono le combinazioni possibili
Consideriamo ndash per semplicitagrave - una Password di 4 caratteri
Giorgio Sbaraglia copyndash2017
Aumentando i tipi dei caratteri il numero delle combinazioni cresce in
modo ESPONENZIALE
Solo NUMERI 104 = 10000 combinazioniSolo LETTERE MINUSC 264 = 456976 combinazioniLETTERE MIN+MAIUSC 524 = 7311616 combinazioniNUMERI+LETTERE 624 = 14766366 combinazioniNUM+LETT+CARSPEC 954 = 81450625 combinazioni
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 50
Password di 12 caratteri Combinazioni TempoSolo Numeri (1012) 1E+12 16 minutiLettere+numeri (6212) 32E+21 1023 secoliLett+num+carspec (9512) 54E+23 17 milioni anni
Con un computer in grado di provare un miliardo di chiavi al secondo
Quanto tempo serve per scoprire una password con attacco ldquoBrute Forcerdquo
Giorgio Sbaraglia copyndash2017
Password di 8 caratteri Combinazioni TempoSolo Numeri (108) 10E+08 lt 1 secLettere+numeri (628) 22E+14 25 giorniLett+num+carspec (958) 66E+15 1576 giorni
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Le regole per una PASSWORD SICURA
SEMPRE DIVERSA Non utilizzare la stessa password in account diversi (ldquonon puoi evitare che il tuo provider venga violato ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dellrsquoutilizzo di una sola passwordrdquo)
LUNGA utilizzare almeno dodici caratteri MISTA lettere maiuscole e minuscole numeri e caratteri
speciali SENZA SENSO Non utilizzare nomi parole o parti di parole
che possono essere ritrovati automaticamente in un dizionario
51
The only secure password is the one you canrsquot remember (httpswwwtroyhuntcomonly-secure-password-is-one-you-cant)
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Errori comuni da EVITARE
Password contenenti Parole presenti su un dizionario in qualsiasi lingua Sequenze o caratteri ripetuti Esempi 12345678 222222
abcdefg o lettere adiacenti sulla tastiera (qwerty) Parole scritte al contrario errori comuni di ortografia e
abbreviazioniModificazioni ovvie alla password Informazioni personali o di familiari nome compleanno
numero di patente e di passaporto o informazioni analoghe
52
The only secure password is the one you canrsquot remember
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
NON usare le DOMANDE di (in)SICUREZZA
Alcuni siti utilizzano leDOMANDE DI SICUREZZA PER
IL RECUPERO DELLA PASSWORD Esempi (reali) di domande di ldquosicurezzardquo proposte dai siti
Qual era il cognome da nubile di tua madre Qual era il nome della scuola elementare Il nome del tuo primo animale La tua squadra del cuore
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta Oppure potrebbe bastare controllare laccount Facebook o Twitter di una persona e scoprire la risposta alla domanda di sicurezzaOppure Domande difficili =gt risposte dimenticate
53Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 54
Generare password sicure non egrave mai semplice ricordarle egrave ancora piugrave difficile Con il password manager perograve tutto diventa semplice e sicuro
COSA SONO programmi e App che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale rendendola disponibile allutente quando ne avragrave bisogno
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 55
I migliori PM sono ldquomultipiattaformardquo disponibili per i sistemi Mac Windows iOS ed Android Questo permette (ma non egrave un obbligo) di sincronizzare attraverso il Cloud (pes Dropbox) le password su ogni dispositivo su cui sono installati (computer laptop o smartphone che sia)
Protetti da una MASTER PASSWORD che diventa perciograve lrsquoUNICA password che occorre ricordare
Giorgio Sbaraglia copyndash2017
I PASSWORD MANAGER (2)
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 56
LrsquoUNICA password che occorre ricordare egrave la MASTER PASSWORD per aprirliSi possono memorizzare username password dati delle carte di credito e molti altri datiI dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard) una tecnologia crittografica utilizzato come standard dal governo USA e che la NSA ritiene adatta per proteggere i documenti TOP SECRETProteggono dai KeyloggerHanno la capacitagrave di generare automaticamente password sicure e complesseHanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciograve fare ldquocopiaincollardquo delle password)
Giorgio Sbaraglia copyndash2017
I vantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 57
I migliori PM sono affidabili e facili da usareLrsquounico vero inconveniente egraveSE DIMENTICHIAMO LA MASTER PASSWORDA differenza degli altri account non saragrave possibile cliccare sul solito pulsante ldquoRecupera passwordrdquo per recuperare la chiave daccesso PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione)
Consiglio appuntarsi la master password Potragrave sembrare sbagliato ma se si teme di dimenticarla saragrave meglio annotare la master password da qualche parte e riporla in un luogo sicuro e (possibilmente) inviolabile
Giorgio Sbaraglia copyndash2017
Gli svantaggi dei PASSWORD MANAGER
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 58
Sono molti i PM disponibili gratuiti o a pagamento I migliori PM ldquomultipiattaformardquo sono (httpswwwdashlanecomit)
Kaspersky (httpwwwkasperskycompassword-manager)
KeePass (open source) (httpkeepassinfo)
(httpskeepersecuritycomit_IT)
(httpswwwpasswordboxcom)
oneSafe (httpwwwonesafe-appscom)
Giorgio Sbaraglia copyndash2017
I MIGLIORI PASSWORD MANAGER
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Realizzato dalla canadese AgileBits (httpsagilebitscomonepassword)
ha tutte le funzionalitagrave richieste per un PM ottimamente sviluppate e perfettamente integrate con i principali browserha un elevato grado di sicurezza (AES 256 bits) e ldquoslow hashrdquo con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2)puograve sincronizzare i dati (le ldquoCassefortirdquo) tra i differenti dispositivi attraverso Dropbox (o iCloud)supporta ldquoone-time passwords (OTP)rdquo utile per gli account che richiedono lrsquoautenticazione a due fattoriOffre ldquo1Password for Teamsrdquo per le aziendeoffre un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dagrave risposte agli utilizzatori
59Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 60
Rappresenta unrsquoulteriore sicurezza probabilmente il sistema di protezione attualmente piugrave sicuroPer autenticarsi a sistemi digitali (computer bancomat o altro) ci sono tre diversi metodi
1 Una cosa che sai per esempio una password o il PIN
2 Una cosa che hai come uno smartphone o un token di sicurezza
3 Una cosa che sei come limpronta digitale il timbro vocale liride o altre caratteristiche biometriche
Come funziona la MFA utilizza almeno due dei tre fattori sopra elencatiDopo aver inserito la password del proprio account saragrave richiesto di digitare un secondo pin o codice personale da ottenere grazie allo smartphone (sotto forma di sms o tramite unapposita applicazione) o tramite un token A differenza della password questo secondo codice egrave di fatto inattaccabile percheacute generato in maniera casuale secondo un algoritmo ed ha una durata molto limitata nel tempo (solitamente 30divide60 secondi)
Giorgio Sbaraglia copyndash2017
AUTENTICAZIONE A DUE FATTORI (MFA Multi-Factor Authentication)
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 61
AmazonApple ID Dropbox EvernoteFacebookGoogleLinkedInMicrosoftPayPal
TwitterYahoo MailWordpress
I principali siti che offrono lrsquoAutenticazione a due fattori
Consigliabile utilizzarla per i
servizi piugrave importanti
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
62
Agenda
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Lrsquoimportanza del BACKUP
Per prevenire perdite di dati per qualsiasi ragione fare sempre copia di sicurezza dei propri dati (almeno il 30 degli utenti NON lo fa)
Un buon metodo 3-2-1 Backup Strategy
3 copie di ogni dato che si vuole conservare (Lrsquoerrore piugrave frequente egrave la presenza di unrsquounica copia di backup)
2 copie rdquoonsiterdquo ma su storage differenti (HD NAS Cloudhellip)
1 copia in sito remoto ldquooff-siterdquo (ev Cloud)
63Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
3-2-1 Backup Strategy
64Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait Giorgio Sbaraglia copyndash2017
1 Lrsquoevoluzione del Cybercrime e il Rapporto Clusit
2 DeepWeb Dark Web rete TOR e Bitcoin
3 I Ransomware
4
I Malware su devices mobili 5
Usare le Password in modo sicuro
7
Il Social Engineering
8 Mettere in pratica la Cyber Security
6
Lrsquoimportanza del Backup
65
Agenda
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
ldquoLa piccola azienda non ha bisogno di una piccola sicurezza ma dello stesso livello di
sicurezza della grande aziendardquo (cit Alessio Pennasilico membro comitato direttivo CLUSIT)
Gli strumenti informatici e tecnologici per proteggersi adeguatamente ESISTONO Quello che manca egrave la CONSAPEVOLEZZA dellrsquoesistenza del
problema
poi la capacitagrave di scegliere correttamente le persone e gli strumenti per risolvere il problema
Giorgio Sbaraglia copyndash2017
Acquisire Consapevolezza
66
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Security come ldquoGioco di Squadrardquo
67Giorgio Sbaraglia copyndash2017
La sicurezza informatica di unrsquoazienda si costruisce con molti componenti ciascuno in grado di dare il suo contributo1 Antivirus sugli endpoint (sempre aggiornati)2 Antispam (Mail Gateway)3 Firewall perimetrali4 URL filtering5 Gestione differenziata dei privilegi drsquoaccesso6 User Behavior Analytics (analisi comportamentale del traffico)7 Sandboxing8 Gestione degli aggiornamenti firmware e patching9 Password Management10Backup dei datiNessuno di questi componenti egrave sufficiente - da solo - a garantirci la sicurezza ma tutti sono necessari
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
DIECI regole per la sicurezza Controllare che il sito sia in HTTPS Impostare Password forti e sempre diverse Non trascrivere le Password in foglietti o files Non memorizzare le password nel browser Utilizzare un PASSWORD MANAGER Cambiare periodicamente le password Non usare le ldquoDomande di Sicurezzardquo Usare lrsquoAutenticazione a due fattori Fare il BACKUP dei propri dati
E soprattuttoNON COMUNICARE LE PASSWORDS A NESSUNO
(amici email di phishing ecchellip)Giorgio Sbaraglia copyndash2016 68
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
In Sintesi Sicurezza Computer come sicurezza Casa
Giorgio Sbaraglia copyndash2017
La miglior porta blindata del mondo non serve a nulla se poi
Lasci la chiave sotto lo zerbino
Apri a chiunque bussi alla porta
69
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait 70
Il succo del discorsohellip
In ogni cyber attacco crsquoegrave sempre almeno un
ERRORE UMANO
Giorgio Sbaraglia copyndash2017
PEBKAC ldquoProblem Exists Between Keybord And Chairrdquo
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
wwwgiorgiosbaragliait
Grazie per lrsquoattenzione
71
giorgiogiorgiosbaragliait334 6712113
wwwgiorgiosbaragliait
Giorgio Sbaraglia copyndash2017
