1

CERTCOORDINATION CENTER

CERT

La nascita

Creato nel 1988, è un centro che si focalizza sul miglioramento dello stato di sicurezza di internet

È situato presso il Software Engineering Institute, un centro di sviluppo e di ricerca creato dal CarnegieMellon University.

Originariamente si chiamava “Computer Emergency Response

Team”.

CERT

Indice

• Cosa fa• Gestione delle vulnerabilità• Analisi del problema• Gestione incidenti• I principi

• Canali di comunicazione

• componenti CERT – Internet

pubblico

privato

CERT

Cosa fa il CERT/CC ? (1)

Fornisce consigli tecnici

Coordina le reazione agli incidenti di sicurezza

Collabora con altri esperti per trovare soluzioni a problemi di sicurezza

Cerca di scoprire le tendenze delle attività dell’intruso

Diffonde informazioni all’intera comunità

Analizza le vulnerabilità di un prodotto ed il codice malizioso

Pubblica documenti tecnici

Presenta corsi di formazione

CERT

Cosa fa il CERT/CC ? (2)

CERT

Cosa non fa il CERT/CC ?

Si focalizza in maniera specifica sui problemi tecnici relativi alla sicurezza in internet, ma

non si focalizza su:

Chi sono gli intrusi

Dove sono localizzati fisicamente gli intrusi

Le motivazioni degli intrusi

2

CERTGestione della

vulnerabilità (1)

•Riceve i rapporti sulla vulnerabilità

Esamina tempestivamente le fonti di informazione di internet

(Mailing List – Siti Web)

• Verifica ed analizza i rapporti

1) Questa è veramente una vulnerabilità?

2) Qual è il suo effetto?

3) Quanti e quali tipi di sistema sono danneggiati?

4) La vulnerabilità è stata attivamente sfruttata?

CERTGestione della

vulnerabilità (2)

Il cert collabora con i reporters della vulnerabilità (i venditori, gli esperti internet) per comprendere meglio la vulnerabilità stessa e per sviluppare le contromisure.

Dopodiché diffonde informazioni sulle vulnerabilità attraverso i “cert advisories”, mentre i consigli tecnici e altri documenti direttamente sul suo sito (www.cert.org)

CERT

Analisi del problema

Si focalizza principalmente sul codice cattivo scritto dagli intrusi:virus Trojan horses Exploit scripts

Lo analizza:

- Cosa fa ?

- Quali vulnerabilità sono sfruttate ?

- Come difendersi da esso ?

- Quali potrebbero essere le vittime o i bersagli ?

Costruisce un catalogo dei problemi ed un’analisi di essi, sviluppando così la capacità di predire tendenze nello sviluppo e funzionalità del codice malizioso.

CERT

Gestione incidenti (1)

Riceve rapporti sulla sicurezza dei computer collegati a internet

Tentativi di attacchi , scan

Attacchi avvenuti con successo

(denial of services, altro)

Nuovi tipi di attacchi (tools di un intruso)

Esamina tempestivamente le fonti di informazioni di internet per i problemi legati alla vulnerabilità (mailing list e siti web)

CERT

Gestione incidenti (2)

Fornisce una risposta immediata agli incidenti nei seguenti casi:

-Minacce o attacchi sulle infrastrutture internet

Root ed altri servers dns

infrastrutture di routing

maggiori siti di archivio

network access points (NAPs)

-diffusi attacchi automatici contro i siti internet

-nuovi tipi di attacchi o nuove vulnerabilità

-minacce o attacchi alle macchine del governo usa

CERT

Gestione incidenti (3)

Analizza i reports:

-Determina i metodi d’attacco

-Individua cosa si può apprendere da questo attacco:

. Nuovo tipo di attacco

. Cambiamento della frequenza del metodo d’attacco

. Necessità di nuove difese o contromisure

3

CERT

Gestione incidenti (4)

Informa la comunità internet circa:

Attività corrente

nuovi tipi di attacchi

scoperta e ripresa dagli attacchi

difesa dagli attacchi

Utilizzando come canale di comunicazione:

- Consultivi Cert -> note di incidenti e sommari

- Pagina dell’attività corrente su www.cert.org

- consigli tecnici ed altri documenti su www.cert.org

CERT

I principi

Il cert garantisce confidenzialità ed imparzialità,

essi non identificano vittime ma possono trasmettere le informazioni anonimamente e descrivere l’attività senza attribuirle ad una persona specifica.

Non vendendo servizi di consulenza o software il CERT garantisce informazioni fidate ed imparziali. Lavorano con venditori e altre persone senza considerare market capitalization, affilazione politiche e disponibilità di codice sorgente

CERTCanali di comunicazione

(PRIVATO)Ha centinaia di legami:

Ø619 contatti hardware e software

ØDozzine di esperti di sicurezza e di tecnologia

ØPiù di cento organizzazioni di governo e della sicurezza industriale

Verificato da procedure out-of-band

Usa comunicazione crittograficamente sicure

CERTCanali di comunicazione

(PUBBLICO)

Mailing list

del CERT/CC:

-161.000 indirizzi

-molti membri

Sono liste di

Redisteibuzione

Sito web del cert:

-Circa 500K hits al giorno, aumentano

durante i maggiori

eventi

News Media:

-interviste ogni mese

-info non pubblicate

tecnicamente

CERT

componenti CERT –Internet

Distribuzione globale:

> più di 171 milioni di computer host

Diversi utenti demografici:

>agenzie di governo

>istituzioni accademiche e di ricerca

>Utenti comuni

>home users

CERT

Incident Reports

4

CERT

Vulnerability reports