2. DISCLAIMER
• TUTTO QUELLO DI CUI VI PARLERÒ VA APPLICATO ALL’IMPORTANZA CHE DATE AI VOSTRI DATI,
QUALI E CHE LIVELLO DI SICUREZZA (PARANOIA?) VOLETE MANTENERE
• LA TANA DEL BIANCONIGLIO È TALMENTE PROFONDA CHE TOCCHERÒ DI STRISCIO GLI ARGOMENTI.
• SE INTERESSA QUALCOSA IN PARTICOLARE APPROFONDIAMO NEL Q&A CON UN BUON PIRLO
3. SCOPO DEL TALK
• BASI SULLA SICUREZZA IN RETE
• COSA SI PUÒ FARE PER PROTEGGERE I PROPRI DATI
• UN’IDEA DI COSA C’È LA FUORI
4. DI COSA DI PARLARE?
• BUONE PRATICHE
• TWO FACTOR AUTHENTICATION (OTP)
• CRIPTAZIONE
• CLOUD
• SOCIAL ENGINEERING
• SICUREZZA NEI LUOGHI PUBBLICI
• NAVIGAZIONE ANONIMA
6. “
”
I THINK INFORMATION SECURITY IS A LOT LIKE
MEDICINE — IT’S BOTH AN ART AND SCIENCE.
MAYBE THIS IS BECAUSE HUMANS HAVE EXPLICITLY
BUILT TECHNOLOGY AND THE INTERNET
PARISA “SECURITY PRINCESS” TABRIZ – HEAD ENGINEER OF GOOGLE’S CHROME SECURITY
TEAM
7. LA BASI…
• PASSWORD A TUTTI I VOSTRI DISPOSITIVI
• NON LASCIATE MAI IL VOSTRO DISPOSITIVO INCUSTODITO SENZA
BLOCCARE LO SCHERMO
• UN BUON ANTIVIRUS NON FA MAI MALE
11. …MA RICORDATE CHE….
• SERVE UNA MASTER PASSWORD
• SE LA PERDETE…PERDETE TUTTO
• ANCHE QUESTI SONO SOFTWARE E PERTANTO SOGGETTI A FALLE DI SICUREZZA
• PER CITARNE UNA RECENTE: HTTP://HACKADAY.COM/2016/08/01/LASTPASS-HAPPILY-FORFEITS-
PASSWORDS-TO-SIMPLE-JAVASCRIPT/
12. TUTTI I SOFTWARE HANNO VULNERABILITÀ
TENETE AGGIORNATI I SISTEMI E PROGRAMMI
MAGARI ASPETTATE UN PAIO DI GIORNI ;)
http://www.cvedetails.com/top-50-products.php?year=2015
13. ASSICURATEVI DI ESSERE IN HTTPS
• LA S STA PER «SECURE»
• PROTEGGE LA PRIVACY DEGLI UTENTI
• EVITA LO SNIFFING (MAN IN THE MIDDLE)
• CONTROLLATE L’ICONA IN ALTO A SINISTRA
14. TWO FACTOR AUTHENTICATION
• È UN OTP (ONE TIME PASSWORD)
• ATTIVATELO OVUNQUE POTETE
• MAGARI NON METTETE LA SPUNTA A «NON CHIEDERMELO PIÙ»
• GOOGLE AUTHENTICATOR
HTTPS://PLAY.GOOGLE.COM/STORE/APPS/DETAILS?ID=COM.GOOGLE.ANDROID.APPS.AUTHENTICATOR2
• AZURE AUTHENTICATOR (IOS, ANDROID E WINDOWS PHONE) A BREVE
15. SE VI RUBANO IL PORTATILE O UN HD/USB
ESTERNO?
• BIT LOCKER (WINDOWS)
• TRUECRYPT / VERACRYTP (MULTIPIATTAFORMA E CREA ANCHE CONTAINER)
• FILEVAULT (OSX)
• ANDROID HA L’OPZIONE DA ATTIVARE, MA PARE SIA FACILE RAGGIRARLO
• IOS CRIPTA TUTTI I DATI PERSONALI IN AUTOMATICO
16. COME ACCEDO?
SI INSTALLA UN BOOT LOADER E DA QUI LE SCELTE:
• MODULO TPM
HTTPS://IT.WIKIPEDIA.ORG/WIKI/TRUSTED_PLATFORM_MODULE
• PASSWORD
• CHIAVE USB O SMARTCARD
• PARTIZIONI NASCOSTE (PLAUSIBLE DENIABILITY )
17. SONO SICURI?
• NON DEL TUTTO
• SOGGETTI AD ATTACCHI «EVIL MAID» (LINUX E OSX)
HTTPS://WWW.SCHNEIER.COM/BLOG/ARCHIVES/2009/10/EVIL_MAID_ATTAC.HTML
• BITLOCKER NO, MA SI VOCIFERA ABBIA DELLE BACKDOOR PERCHÉ COLLABORA CON LA NSA (E
CODICE NON OPEN, PERTANTO NIENTE AUDIT COME A TC)
18. E IL CLOUD?
• SI FA LO SBAGLIO DI PENSARLI COME HARD DISK ESTERNI
• HANNO TANTI DATI E ATTIRANO L’ATTENZIONE
• SICUREZZA DI CASA VOSTRA VS SICUREZZA GESTITA DA ALTRI
• CASO REMOTO, MA È SUCCESSO CHE ABBIANO CANCELLATO I
DATI
• THE FAPPENING…ANYONE?
• TRESORIT È UN’ALTERNATIVA CRIPTATA
• BOXCRIPTOR CRIPTA PRIMA DI SINCRONIZZARE
19. SOCIAL ENGINEERING
• MANIPOLAZIONE PSICOLOGICA DELLE PERSONE
• OTTENGO INFORMAZIONI CONFIDENZIALI (PRETEXTING, PHISHING, SPEARPHISHING)
• GLI FACCIO FARE QUALCOSA (BAITING)
20. “
”
IT IS MUCH EASIER TO TRICK SOMEONE INTO
GIVING A PASSWORD FOR A SYSTEM THAN TO
SPEND THE EFFORT TO CRACK INTO THE SYSTEM.
KEVIN MITNICK
21. ESEMPIO PIÙ BANALE DI QUANTO IMMAGINATE?
• NEL 2003, IN UN SONDAGGIO SULLA SICUREZZA, IL 90% DEGLI IMPIEGATI AVEVA FORNITO AI
RICERCATORI QUELLA CHE DICHIARARONO ESSERE LA LORO PASSWORD IN RISPOSTA AD UNA
DELLE DOMANDE DEL QUESTIONARIO…IN CAMBIO DI UNA PENNA IN REGALO.
22. SICUREZZA NEI LUOGHI PUBBLICI
• BLOCCATE LE CONDIVISIONI
• ATTIVATE IL FIREWALL
• HTTPS #CHEVELODICOAFARE
• VPN
• ELIMINATE I WI-FI A CUI NON VI ATTACCATE PIÙ
• NIENTE TRANSAZIONI ECONOMICHE
23. TOR
• PERMETTE LA NAVIGAZIONE ANONIMA (MEGLIO DI IE, FF, CHROME O SAFARI)
• ABBIAMO ACCESSO ALLA DARK NET (CHE NON È IL DEEP WEB)
• ANDIAMO SU THEHIDDENWIKI (HTTP://ZQKTLWI4FECVO6RI.ONION)
24. QUINDI È SICURO NAVIGARE CON TOR?
• 3% DEI NODI SONO «ROGUE»
HTTPS://NAKEDSECURITY.SOPHOS.COM/2016/07/26/HONEY-ONIONS-PROBE-THE-TOR-DARK-WEBT-AT-LEAST-3-OF-DARK-WEB-NODES-ARE-ROGUES/
25. COSA È RIMASTO FUORI?
• IOT
• TYPO SQUATTING
• E-WHORING
• …
26. E GIUSTO PER NON FARCI MANCARE NULLA
• SE AVETE TUTTO NEL TELEFONO, BASTA HACKARVI QUELLO ;)
HTTP://WWW.PCMAG.COM/NEWS/345207/HACKERS-NO-LONGER-NEED-YOUR-PASSWORD
Consiglio sul pattern di generazione password e una per le cose veramente importanti
Quando hanno fiondato Ashley Madison c’erano un botto di password con 12345, 123456 etc.
L’utente si deve fidare del browser e delle autorità di rilascio dei certificati
Esempio man in the middle con bonifici bancari
Stacco il disco e lo attacco ad un altro pc
Prendo dalle discariche i computer buttati, perché la gente dimentica di svuotarli
A likely scenario is that you leave your encrypted computer in your hotel room when you go out to dinner, and the maid sneaks in and installs the hacked bootloader. The same maid could even sneak back the next night and erase any traces of her actions.
Chi conosce il ragazzo in sala server che accede agli storage?
Pretexting: Creare una situazione tale che la vittima è più propensa a darmi Informazioni che non mi darebbe in altri casi. ES: mi fingo polizziotto
Spearphishing: ottengo dati mandando al soggetto messaggi che sembrano innocencenti
Phishing: ottengo informazioni private in maniera fraudolenta (le email delle banche che chiedono il pin)
Baiting uso media fisici che si affidano alla curiosità ed avarizia del soggetto. Esempio del pentest della banca con le chiavi USB
In chat è facilissimo sapere se uno lavora per il governo o meno. Si tende a vantarsi per fare colpo