la sicurezza dei dati esposti sulla rete francesco marinuzzi, ph.d. ingegnere

La sicurezza delle informazioni nell’era dello Urban Cyber SpaceConvegno Tecnhology4all

Centro Congressi Frentani – Via deiFrentani,4514 MAGGIO 2015

Sicurezza: il contributo umano

• 7 Maggio: Giornata mondiale delle Password

Rank Password Change from 2013

1 123456 Unchanged

2 password Unchanged

3 12345 Up 17

4 12345678 Down 1

5 qwerty Down 1

6 123456789 Unchanged

7 1234 Up 9

8 baseball New

9 dragon New

10 football New

11 1234567 Down 4

12 monkey Up 5

Rank Password Change from 2013

13 letmein Up 1

14 abc123 Down 9

15 111111 Down 8

16 mustang New

17 access New

18 shadow Unchanged

19 master New

20 michael New

21 superman New

22 696969 New

23 123123 Down 12

24 batman New

25 trustno1 Down 1

(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -Ordine degli Ingegneri della Provincia di Roma Convegno

Technology4all 2

Cosa sanno di noi i motori di ricerca

• https://security.google.com/settings/security/activity https://www.google.it/settings/ads


Technology4all

3

Cosa sanno di noi i motori di ricerca

E ovviamente la cronologia: https://history.google.com/history/


Technology4all 4

Location History

• https://maps.google.com/locationhistory/ un mese intero di spostamenti!

Mascherato per privacy.


Technology4all 5

Dump del nostro «io digitale»

• https://www.google.com/settings/takeout scarichiamo tutto!


Technology4all 6


Technology4all

Spazi per nuove soluzioni in progress

• Limite per gli attuali strumenti di salvaguardia della privacy (ad es. Ccleaner, etc..). I nostri dati di privacy non sono più solo «in locale».

• Necessità di una nuova generazione di strumenti agenti online e con frequenza giornaliera. Ad esempio macro automatizzate che simulano l’azione dell’utente. Servizi periodici in abbonamento.

• Nel caso di gestori dei dati di privacy meno trasparenti, possibilità semplificata di adozione dinamica di differenti profili di accesso ed esposizione in rete (differenti browser con settaggi diversi, etc…).

7

Il nuovo Glossario delle minacce digitali

http://www.iglossa.org/istruzioni-per-luso/

Promosso dal gruppo di lavoro contro il cybercrime del Ministero di Giustizia:

55 comportamenti criminali o a rischio


Technology4all 8

Le criptovalute? Più tracciabili delle reali!

Colore e tracciabilità della moneta.

Operazione Onymous: tutti arrestati

Processo Silk Road: tutti arrestati

Riciclaggio di denaro «cartaceo»: tutti arrestati????

Tutte le transazioni di Bitcoin sono auto-registrate nella valuta stessa con gli pseudonimi;

La traccia informatica lasciata dal Bitcoin è prova giudiziaria, non solo indizio.


Technology4all 9

Report 2015 dai produttori di antivirus

Internet Security Report 2015:

$ 2014: target obiettivi di alto potenziale (Heartbleed, 800,000 sistemi)

$ Tempi di scoperta e soluzione elevati: 22 e 204 giorni (4 giorni nel 2013) siamo sempre più a rischio

$ Il 60% dei target sono le PMI

$ 317M di malware creati nel 2014

$ Alta percentuale di Ransomware (+113%) e SpearPhishing: profilati sul target specifico

$ IoT: il 52% delle app NON PROTEGGE i dati, trasmissioni non criptate (tastiere wireless).


Technology4all 10

Aumento della sofisticazione degli attacchi (CERT)


Technology4all 11

Hacker Academy gratis!

youtube

66900!!


Technology4all 12

Esempio di SQL Injection

Ricerca delle stringhe:[+] inurl: news.php?id=[+] inurl: news.asp?id=

59,000 risultati

121,000 risultati


Technology4all 13

Esempio di SQL Injection

Provo con il primo: http://www.irishsanghatrust.ie/news.php?id=33'

Possibile vulnerabilità!!!


Technology4all 14

Esigenze e ruoli emergenti

Dal penetration test una tantum verso la necessità di sottoscrivere un servizio di abbonamento per la verifica continua della sicurezza dei propri dati esposti in rete sia a livello personale sia aziendale.

La professionalità e l’indipendenza devono essere predicate “in primis” a livello della persona “fisica” che poi può anche partecipare o appartenere ad un’organizzazione superiore con altri suoi “simili” che può offrire maggiori garanzie.

La figura dell’Ingegnere dell’informazione ai sensi del DPR 328/2001 è quella indicata per garantire affidabilità, competenza e comportamento etico.

Ai sensi della circolare 194/2013 del CNI vi sono specifiche riserve per tale professionista in ambito ICT.(C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -

Ordine degli Ingegneri della Provincia di Roma Convegno Technology4all

15

Paradossi del valore in moneta

Quando un servizio è gratis significa che noi siamo il prodotto.Quando un servizio o prodotto è quasi gratis potrebbe avere una grande economia di scala e dunque qualità nelle funzionalità ed affidabilità ma una scarsa sicurezza.Quando un servizio o prodotto ha un costo molto alto e una componente digitale significativa potrebbe esser ottimo dal punto di vista della sicurezza ma scarso nelle funzionalità ed affidabilità generale nel tempo.

E’ necessario un ingegnere competente per selezionare la soluzione ottimale in una data finestra temporale.


Technology4all 16

Dalle ultime novità tecnologiche…

Invero esiste una microspia ambientale audio e video 24 ore su 24 che ci segue, ci vede e ci ascolta sempre ed in ogni luogo in tempo reale. E’ molto difficile da disinnescare e mette in seria crisi la propria privacy personale ed aziendale e i principali sistemi di difesa e di contromisura.

Chi già ne ha avuto notizia?


Technology4all 17

Gli smartphone e non solo…


Technology4all 18

I sistemi di controllo!!!


Technology4all

intitle:"netbotz appliance" "OK"

19

Alcune misure artigianali di protezione..

Uno smartphone moderno non si spegne mai…l’importanza del frigorifero e del microonde!

Segnale (?) + audio

Segnale (?)

Segnale

Segnale


Technology4all 20

Soluzioni professionali

1. Primo livello: selezione di un ingegnere dell’informazione di fiducia. Il vostro smartphone è la mappatura digitale della vostra identità.

2. Secondo livello: • controllo di presenza di spyware nell’apparecchio;• storico ed indagine forense sull’apparato;• bonifica e/o messa in sicurezza.

L’Ordine degli Ingegneri della Provincia di Roma può svolgere un valido ruolo di garanzia e tutela nell’esercizio di questa professionalità cosi delicata e critica per la privacy e l’impatto sulla vita di tutti noi.

Grazie. Francesco Marinuzzi Rif. [email protected](C) CC by 2.5 Francesco AT Marinuzzi dot IT – Maggio 2015 -

Ordine degli Ingegneri della Provincia di Roma Convegno Technology4all

21

la sicurezza dei dati esposti sulla rete francesco marinuzzi, ph.d. ingegnere

Internet

ordine degli ingegneri

marinuzzi dot it

master new

access new

michael new

football new

superman new

baseball new