Primo incontro del ciclo: Cybercrime, Digital Evidence e Digital Forensics - webminario organizzato da Giuseppe Vaciago per la cattedra di Informatica giuridica della Bicocca.
3. Credits
Grazie ai colleghi
con i quali lavoro su questi temi:
Elisa Bortolani
Raoul Chiesa
Andrea Zapparoli Manzoni
Daniele Martini
Enzo Maria Tieghi
Alessio L.R. Pennasilico mayhem@alba.st 3
5. Cosa dobbiamo affrontare?
Ogni anno
durante il Security Summit di Marzo a Milano
Clusit presenta un rapporto
su cosa è accaduto nel’‘anno precedente
cosa ci si aspetta dall’anno in corso
Alessio L.R. Pennasilico mayhem@alba.st 5
6. Cosa emerge?
Tutti sono un bersaglio
Tutte le piattaforme sono un bersaglio
Le protezioni tradizionali sono inefficaci
Alessio L.R. Pennasilico mayhem@alba.st 6
8. Perché preoccuparsi?
Nel 2012 gli attacchi noti
che hanno prodotto un danno ingente a chi li ha
subiti in termini economici o di immagine
sono aumentati del 252%
Campione 1652 attacchi internazionali
Alessio L.R. Pennasilico mayhem@alba.st 8
11. L’Italia #1
I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012).
Gli utenti di Social Network sono l’85,6% degli utenti online (23 M)
Il 28% della popolazione usa uno smartphone (17 M)
In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena
consapevolezza dei rischi informatici e di prendere contromisure.
Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security
efficaci (educazione, prevenzione, gestione degli incidenti)
Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi.
Alessio L.R. Pennasilico mayhem@alba.st 11
12. L’Italia #2
Risultato: nel 2012 l’Italia è al nono posto a livello globale per la diffusione
di malware e soprattutto al primo posto in Europa per numero di PC
infettati e controllati da cyber criminali (le cosiddette botnet).
Nel 2012 8,9 milioni di italiani sono stati colpiti da una qualche forma di
crimine realizzato via Internet (sono diventati i reati più diffusi)
Solo Eurograbber (ZitMo) ha coinvolto in Italia 16 istituti bancari ed
11.893 utenti, causando il furto di oltre 16 milioni di euro in pochi giorni.
Alessio L.R. Pennasilico mayhem@alba.st 12
13. Cosa ci aspettiamo?
Cybercrime: in mancanza sia di barriere all’ingresso che di forme efficaci di
contrasto e disincentivazione, altri gruppi si uniranno a quelli già oggi in
attività. Aumenteranno fortemente sia i crimini informatici, sia quelli
tradizionali veicolati e/o commessi con l’ausilio di sistemi ICT.
Hacktivism: sempre più distruttivo, aumenteranno attacchi DDoS e data
leakage.
Cyber Espionage: attacchi sempre più sofisticati sponsorizzati da governi,
corporations e gruppi criminali in un contesto di “tutti contro tutti”.
Cyber Warfare : non ci sarà cyber war aperta, almeno per 1-2 anni, ma
tutti si preparano attivamente a combatterla, investendo ingenti risorse.
Schermaglie ed incidenti con frequenza crescente (Cyber Cold War).
Crescente rischio di “Black Swans” ed instabilità sistemica diffusa.
Alessio L.R. Pennasilico mayhem@alba.st 13
14. Da chi ci dobbiamo
difendere?
http://www.alba.st/
15. Hacker’s Profiling Project
Abbiamo allora voluto analizzare il “problema del
cybercrime” utilizzando un approccio
completamente diverso da quelli individuati sino
ad oggi.
Il progetto H.P.P. si pone infatti l’obiettivo di
analizzare il fenomeno tecnologico, sociale ed
economico dell’hacking nelle sue mille
sfaccettature, mediante approcci sia di tipo
tecnico che criminologico
Alessio L.R. Pennasilico mayhem@alba.st 15
16. Hacker
“ I do it for one reason and one reason only. I'm
learning about a system. The phone company is a
System. A computer is a System, do you
understand? If I do what I do, it is only to explore a
system. Computers, systems, that's my bag. The
phone company is nothing but a computer. ”
Captain Crunch
Tratto da “Secrets of the Little Blue Box “
Esquire Magazine, Ottobre 1971
Alessio L.R. Pennasilico mayhem@alba.st 16
17. Kimble come lo ricordiamo...
Alessio L.R. Pennasilico mayhem@alba.st 17
18. ... e come lo conosciamo oggi...
Alessio L.R. Pennasilico mayhem@alba.st 18
22. Per approfondire...
Contiene tutti i dettagli su
HPP
Alessio L.R. Pennasilico mayhem@alba.st 22
23. Cosa si evince?
Dal curioso che gioca con gli amici ...
... al criminale al servizio dei criminali ...
... che non conosce deterrente ...
Alessio L.R. Pennasilico mayhem@alba.st 23
25. Autenticazione
select * from users where
username=’$_POST[username]’
AND
password=’$_POST[password]’
Alessio L.R. Pennasilico mayhem@alba.st
26. SQL Injection
Inserisco al posto della password:
‘ OR ‘1’ = ‘1
Alessio L.R. Pennasilico mayhem@alba.st
27. SQL Injection
select * from users where
username=’$_POST[username]’
AND
password=’‘
OR ‘1’ = ‘1’
Alessio L.R. Pennasilico mayhem@alba.st
28. Altri rischi?
Posso interrogare il DB e ottenere tutti i dati
contenuti:
'
UNION
ALL
SELECT
NULL,username,password,NULL
FROM
utenti
WHERE
'x'='x
Alessio L.R. Pennasilico mayhem@alba.st 28
30. Come mi proteggo?
Evito di processare i caratteri speciali come ‘
Prevedo il processo che si chiama “normalizzare
l’input”
Alessio L.R. Pennasilico mayhem@alba.st 30
31. Esempio
$user=mysql_escape_string($_POST['user']);
$password=mysql_escape_string($_POST['password']);
$query="SELECT
*
FROM
Users
WHERE
username='$user'
AND
password='$password';
Alessio L.R. Pennasilico mayhem@alba.st 31
38. SecurityFocus
2001 - November
So what apparently occured was Fluffi Bunny
replaced that banner ad. If you poke around
thruport.com, you will see that many images were
replaced with the Fluffi banner ad. As a result,
various web sites that use the thruport.com
service had the alternate banner appear
throughout the day.
http://www.sikurezza.org/ml/12_01/msg00006.html
Alessio L.R. Pennasilico mayhem@alba.st 38
40. Frodi
“Edwin Andreas Pena, a 23 year old Miami
resident, was arrested by the Federal
government: he was involved in a scheme to sell
discounted Internet phone service by breaking
into other Internet phone providers and routing
connections through their networks.”
The New York Times, June 7th 2006
Alessio L.R. Pennasilico mayhem@alba.st 40
41. Robert Moore
"It's so easy a
caveman can do it!"
“I'd say 85% of them were misconfigured
routers. They had the default passwords on
them: you would not believe the number of
routers that had 'admin' or 'Cisco0' as
passwords on them”.
Alessio L.R. Pennasilico mayhem@alba.st 41
42. L’automazione Industriale
Un tema così attuale e
difficile da trattare
Clusit ha prodotto una
monografia per approfondire
il tema
Alessio L.R. Pennasilico mayhem@alba.st 42
44. Un tema sempre più noto
Alessio L.R. Pennasilico mayhem@alba.st 44
45. Worms
“In August 2003 Slammer infected a private
computer network at the idled Davis-Besse
nuclear power plant in Oak Harbor, Ohio,
disabling a safety monitoring system for nearly
five hours.”
NIST, Guide to SCADA
Alessio L.R. Pennasilico mayhem@alba.st 45
46. nmap
“While a ping sweep was being performed on an
active SCADA network that controlled 9-foot
robotic arms, it was noticed that one arm
became active and swung around 180 degrees.
The controller for the arm was in standby mode
before the ping sweep was initiated.”
NIST, Guide to SCADA
Alessio L.R. Pennasilico mayhem@alba.st 46
47. Disgruntled employee
Vitek Boden, in 2000, was arrested, convicted and
jailed because he released millions of liters of
untreated sewage using his wireless laptop. It
happened in Maroochy Shire, Queensland, may be
as a revenge against his last former employer.
http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/
Alessio L.R. Pennasilico mayhem@alba.st 47
48. Il costo dell’hardening
Cliente con Altoforno gestito da PC
PC in LAN
Stima dei costi in caso di fermo-forno
Stima dei costi per isolare PC ed Altoforno in
una VLAN dedicata, il cui traffico sia filtrato a L3
3M € vs 3K €: progetto bocciato
Alessio L.R. Pennasilico mayhem@alba.st 48
54. Cosa dobbiamo affrontare?
Rischi
reali, concreti
semplici da trasformare in incidenti
alta probabilità di conversione in incident
grande impatto sul business
Alessio L.R. Pennasilico mayhem@alba.st 54
55. Cosa fare?
Rischi
facili da prevenire
difficili da mitigare a posteriori
Alessio L.R. Pennasilico mayhem@alba.st 55
56. Security by Design
Se costruisco una casa
senza progettare
uscite di sicurezza
costruirle a lavori finiti
sarà disastroso
Alessio L.R. Pennasilico mayhem@alba.st 56
57. Domande? These slides are
written by Alessio
L.R. Pennasilico aka
mayhem. They are
subjected to
Creative Commons
Attribution-
ShareAlike 2.5
Grazie!
version; you can
copy, modify or sell
them. “Please” cite
your source and use
the same licence :)
http://www.alba.st/
Alessio L.R. Pennasilico
Verona, Milano, Roma
Phone/Fax +39 045 8271202 a.pennasilico@alba.st