“ITS ACADEMY MESUMOHICS VENETO ESAME FINALE x CORSO ITS 2021 ~ 2023 Te«nico Superiore per industrial Cyber Security ‘48Commissione Sede PADOVA PROVA TEORICO-PRATICA 10 .uctio 2023 CCANDIDATO. Descrizione dello scenario ‘Sei un pendente ai una nota agenzia di consulenza si sicuezza informatica, Ia Alsat Cyersecurty E Corp, una piccola media impresa in fase o forte espensione, vi ingaggia @ segue di un attacco informatica a suo dann. Dopo 'accaduto, & Corp realzza dinecessitae dun piano pid stuturto per quanto riguarda: la gestione deta sicurazza dei prop sistem’ informate, nonché delle risorse umane © intellectual properties del azienca, In primo luogo, & necessarioanalizzare « miigare i danni del'attacco appena awanuto. Dopodiehé bisognera rimettren cscussionelintarainfastutura, tentando di prateggere nel ‘mado pis effcace la compagnia,cercando al contempo d lmitare i cos (Ognirisposta deve essere accompagnats da une coneiss ma completa motivazione delle. decision prese Quesito 1 - Incident Response Altartivo in € Corp, palate con sistemista che racconta ol aver avuto un prime sospeto sila possibile sorgente delatacco:recentemente aveva lato note aiguardo dun vulnerabita {i 20K, Fapplicatva che viene vlzzato alfinterno del azienda per videoconferenze ‘Tramite | applicative, che viene utiizzatogiomalmente da ut idipendent,fattaccantesembca essere luscito ad intromettersialfintemo delfazienda, In partcolar, ci sono tute le ragon! per ipotizzare un accesso allintemno della workstation aun dipendente non particolamente awvezzo agi aggiomament sofware. Por essere in grado di rspondere nel mighor modo alfaccaduto, decidete di fare rfeimento alla Mire ATTECK Mati, 41. Scegla tecnica alintrno della Mire ATTACK Matix che rappresentalatizologia atacco sopra descrita dentfca lo spot che ti serra a pid adeguato indicando: ‘2 La tates ot atacco(colenna) . La tecnica i atacco La sotto-tecica (se necessara) Consulta la MireATTECK Matric riprtata nelle seguent pagne (divsa in 2 pagine)2 rent spte nl tena chee rs 2X supe ol Sproul Foren alunite! moenet one ina tna ano pentumel puindeue cmatew ste rapes crea? 2 "Ey Senate romaion Fi rayon oe ered aoe snl conto cong wnt oan ny and Sra scone oor sen Mabncor Autarsion Regie mcr sero fo 8H cme wer grtle ash supe poon SH toe © ben or tanove Fea o Pega’ Satbe he SSH etren on ner tote & Se nD nee Rent Lope Seba Sr Shang Pree 4, Rete tsed Sortn Ue cope ioe Sts pry spar yb neds ay ce sve oo tine © te Conny Claman asain ttn oa, Coa Verio anc) wer tan Pog ha Imago ht sty spoon operand sno dy he tent Anes ay a sk ‘aca con omy sora potas aah ot Aare Pt Stasn ao em ony eae soon On ed a ‘nina ose o. Matt Plo nd Scr Paistn: Ena pope peso ae scataramyten oper antpap eats panies © User Account Management: Limt which user accounts are allowed to login vaseQuesito 2 - Network Hardening Una vota miigat gl effet deattacco, E Corp vi richiede oi miglorare la loro architatura dt rete per rendeca ai sicura, Vazienda & dslocata in dus sec, la quali svalgono diverse funzion. La prima sede si occupa d esporre | servi web e relativi da, control da un ‘singolo apendente con una workstation. La seconda si occupa iavece dela preduzione: tramite te workstation per la progetazione @ un sistema di contrallo indusiale (CS) per Fefetva produzione dei beni, Le due sottoreti sono collegate tra loro atvaverso una connessione Intraret.A diosa delle due sottorel sone present due firewall posiionai come in Fgura trai outer interno e internet, come in Fours : Sree dal Sagrebeebd tape om Quesito 3 - Intrusion Detection Systems Un punto. cui azienda iene particolarmente la dfeea de loro sistem di contri dita, ‘Vi viene chiesto qund a nstalare un sistema di ntusion detection (IDS). Dopo una prima: ‘analsi con il vostro team, deciete ol installare un sistema di anomaly-baeee IDS, 1) Spiega i vantagg svantaggi ci questa scatarispetto a als posit fals negatv. ‘Se necessario, compara con aie tipologe oi sstemi IDS, 2) Supponiamo che riusiate a configure il vostro IDS basato sule anomale con un lvello dt accuratezza accettabile. Qual sono le preoccupazioni rispetto al vosto IDS: ‘che E Corp dovrd afrontare man mano che Forganizzazione crescera © novi disposi verano aggunt aliteeno del sistema?Quesito 4 - Phishing / Social engineering Ln uteroce recta da parte di Corp # quota fmite oe materiale ctomatione per ‘ipandent, qual anche Itetare aspttounano ela presarazion® nel endo da ataceh ingegnea sociale ce pendent 1) Dopo averotenuto# consense dal CEO dell azienda, decidete di anciar una ccampagna di paishing verso 'azienda per verifcare ia proparazione de ipendent ‘Come pia semplice campagna deciete di preparare una email malewla da Inviare a tt | dipendent dell azienda. usa alcun!possibil punt sui quali pores fare eva par otenere le credenziald accesso alla pagina di amministazione aziendale da parte cei dipendent: 2 Decidete poi i testare in modo specico | dipendent esposti a materiale pi sensible con una campagna di spear phishing dedicata. Spiega come timuoveresti in preparacione a tale campagna,ilstrando quali font consullerestie che informazion cercherest cl ottenere, 9 Uno dei cipendenti target dl spear phishing 6 sig, Adam eflorian. Aves trovato sue profile Facebook e Linkedin ‘Adam Deflorian a cer Experience Sale Speci. EducationSulla base delle immagin forte, qual potrebbero essere principal nteressi su cul 8% potrebbe basare un attaco ci spear phishing? 4) Scagliuno dei vttr i attacco della domanda precedente ed abbozza una possibile imal spear phishing. I fatore“esttica’&rlevanie: questo vuol de che pus usare 7loohi immagini o sive per convineere dallautentith dlla mal Non 8 chiadiama ci cisegnare loghy, basta dsegnare un rettangoloe scrvere dento cosa immagini ci sia, Qui unesempio: nde ps on A Bs one «pei, stats, erkrmnds A =Somenie eon A kat apn ae a Fe hea Quesito 5 - Pen testing Infine, vi viene rchiesto di esequire un penetration testing su una web application esposta 16a E Corp dove vac cient possono acqustare dei predate consuitare lo stato deg ordi Trae varie paging, trovate uno sept PHP ato alla gestione de login: S.ceTluser]; S.GET pwd]; Susername Spasswor Ssql = “SELECT * FROM usertable WHERE username = ‘Susernane AND password = ‘Spassword’ "; Sresult © Sdb->query(Ssq1) : Af (Sresult-snun_rows > 8) { /* Success */ } else (i? Failure */ }1). Splaga perché un URL dove il parametio “user” éimpostato a" or 1 = 1 == ‘sulla in un login con successo, speciicando il nome dallttacco che sta utitezanéo, Un tuo colega decide dt cambare le prime due lnee con Susernane = addslashes($ GET[user]) Spassword = addslashes(S GET{pwd]) {La furzione addslashes agglunge uno sash prima di ogni vigoleta. Per esempio, ‘Owere addslashes(2'b") produralastringa "al 'b™.Spiega porché questo Impacisce Fatacco do! punto a). Easendo che siete pid espert del vostro colega e appassionat giocator i Capture- ‘The-Flag, vi rendete presto conto che il problema non @ rsdto completamente CConsiderate il charset unicode Cinese GK. Alcunicaratteriai GBK sono a byte singolo, menze alti sono a byte doppia. In paricolare,latabella sequente mostre aleuni caratteri GBK: 2 9 Ox Se = \ Ox 27, = Ox bf 27 = ¢’ Ox bE Sc = Percid il database interprata OxBF27 come due caratr rite interpreta @xbfSe come un singole eaattre cinase, Decil quind oi mostrare come, utlezando ‘addsLashes del punto), & comunque possible lanciare un attacco con lo stesso effeto dl attacco al punto a), In paricolare, che valoe sari necessaro insere net parametro“usee” per atenere un login con successo? Perthé? 4) Tivengonoin mente ale solution per difendersi anche daatacco al punto)? Spiegane una