Backtrack e deftlinux_-_intelligence_security_response

BackTrack e Deft Linux Intelligence, Security e Response 1 Emanuele Gentili Stefano FratepietroRe d am Te Te a m l ue Bgiovedì 20 ottobre 2011

Emanuele Gentili Amministratore unico di Tiger Security S.r.l. Offensive Security Certiﬁed Professional Trainer Security Advisor per agenzie governative di intelligence e servizi 2 European Project Leader in BackTrack Linux - Penetration Test OS http://www.emanuelegentili.eu http://www.tigersecurity.it http://www.twitter.com/emgent http://www.backtrack-linux.org http://it.linkedin.com/in/emanuelegentili http://www.exploit-db.com am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Stefano Fratepietro IT security specialist per il CSE (Consorzio Servizi Bancari) DEFT Linux – Computer Forensic live cd project leader 3 Consulente di Computer Forensic per procure, forze dellʼordine e grandi aziende italiane ‣ Buongiorno Vitaminic! ‣ Telecom Italia -‐ Ghioni am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Obbiettivi Workshop ‣ Dimostrare che la guerra digitale esiste e viene praticata giornalmente ‣ Dimostrare che c’e’ la necessità di proteggere le infrastrutture informatiche con personale competente e pro attivo 4 ‣ Dimostrare che la Cina applica politiche aggressive nel cyber spazio ‣ Dimostrare che sono necessarie politiche diRe difesa e raccolta di informazioni d am Te Te a m l ue October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

BackTrack Linux Distribuzione GNU/Linux Live installabile per attività di cyber intelligence e di Penetration Test. Nasce nel 2006 come progetto indipendente Oltre 600 tools per svolgere test di sicurezza ed investigazione. Rispetto delle Metodologie STANDARD internazionali PTES, OSSTMM, OWASP, OSINT. Quasi sei milioni di download unici dalle nostre infrastrutture ( 5,997,811 - 18 Ottobre 2011) 5 Oggi è sviluppata e gestita da due società del settore ( Offensive Security e Tiger Security ) Utilizzata da agenzie di intelligence e reparti governativi della difesa. www.backtrack-linux.org am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Obbiettivi del progetto ‣ Mettere a disposizione un sistema operativo completo e funzionale, pronto all’uso, per attività di Cyber Intelligence ed Intrusione Informatica 6 ‣ Offrire formazione certiﬁcata unica nel suo genere am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Feedback Pubblici Cyber Defense Exercise “ Se avessi avuto Back|Track Linux qualche anno fa, mi avrebbe fatto risparmiare molto tempo.” Kevin D. Mitnick “ Back|Track è la via più veloce per andare dal boot del sistema locale all’ accesso root del sistema che vuoi attaccare ” 7 H.D. Moore “ Back|Track è l’ arma utilizzata dai ninja hacker. ” Johnny Long www.nsa.gov am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Un po di numeri... ‣ Core Team composto da 10 persone, appartenenti a società specializzate ‣ oltre 200 contributori stimati in tutto il mondo ‣ 5 gruppi di supporto localizzati 8 ‣ Quasi sei milioni di download (Release 5 R1) ‣ Utilizzata in pianta stabile da almeno 7 equipe specializzate all’interno di agenzie governative e militari am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Principali Caratteristiche ‣ Inizialmente basata su Slax poi su Ubuntu, da oltre una release e’ completamente gestita ed ottimizzata solo ed esclusivamente dal core team 9 ‣ Utilizza un sistema di pacchettizzazione proprio ingegnerizzato appositamente, mantenendo la compatibilità al formato .deb ‣ Include software proprietario di alto livello grazie a partnership con le più importanti am aziende al mondo (a costo zero per l’utente) Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Architettura 10 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Documentazione Pubblica ‣ Disponibile nelle lingue: inglese, italiano, spagnolo, portoghese, tedesco e francese. ‣ Documentazione mirata al framework di 11 attacco Metasploit rilasciata pubblicamente chiedendo donazioni in sostegno al progetto Hacker For Charity. am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

D E FT Acronimo di Digital Evidence & Forensic Toolkit Nato nel 2005 in collaborazione con la cattedra del corso di Informatica Forense dell’Università 12 degli studi di Bologna Dal 2007 diventa un progetto indipendente am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Obiettivi del progetto • Fornire una serie di soluzioni multi piattaforma per la risoluzione di problematiche di Computer Forensic e Incident Response 13 • Non si pone come concorrente ai tool enterprise come Encase, FTK e Xway Forensic • Documentazione am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Un po di numeri... • Team composto da 6 persone, tutte italiane, di cui 3 in forza presso la GdF e la Polizia Postale 14 • 6 anni di esperienza maturata sul campo • Più di 195.000 download solo nel 2010 • 1300 utenti facebook • 650 utenti attivi nel forum Te am l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

DEFT come Forensic bag Sistema Linux live che mantiene inalterato il contenuto delle memorie di massa del sistema ospitante 15 + software computer forensics per Linux Interfaccia graﬁca veloce + ed intuitiva per sistemi Windows ideale per l’esecuzione di attività di + pre analisi software computer forensics per Windows am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Principali caratteristiche • Basato sul progetto Lubuntu • 2.6.35 - usb 3 ready • Sleuthkit 3.2 + Libewf 16 • Supporto per i Logic Volume Manager (LVM) • Digital Forensic Framework • Xplico 0.6 am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Documentazione • Attualmente disponibile in lingua inglese ed italiana • Entro la ﬁne del 2012 anche in Spagnolo, Portoghese e Cinese 17 • Una serie di how-to per eseguire le principali attività informatico forensi • Man page di tutti gli applicativi am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Le fasi dello sviluppo Piattaforma Sistema Linux di di sviluppo partenza Windows Raccolta Raccolta degli applicativi degli applicativi Si 18 Sviluppo Sviluppo GUI e applicativi e Bug? bugﬁx bugﬁx No Test dei beta Test dei beta tester tester am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Cyber Intelligence ‣ Raccolta informazioni tramite fonti aperte ‣ Raccolta informazioni tramite fonti privilegiate ‣ Azioni di ingegneria sociale ed intercettazione per raccolta informazioni extra (email, social 19 network, telefono) ‣ Correlazione delle informazioni per individuare possibili punti deboli per l’ accesso informatico non autorizzato am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Cyber Intelligence Risultato di una possibile raccolta informazioni 20 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Intrusione Informatica Tentativo di accesso ai sistemi informatici del target ‣ Verifica di vulnerabilità applicative su sistemi remoti pubblici o privati (Server, Reti Wifi, ecc.) ‣ Verifica di vulnerabilità applicative o password deboli su account privati (email, social network) 21 ‣ Verifica di vulnerabilità su client del target (smartphone, laptop, sistemi casalinghi) ‣ Ricerca mirata o acquisto di “exploit” per sfruttare vulnerabilità su applicazioni utilizzate dal target ‣ Intrusione Te am edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Intrusione Informatica Tentativo di accesso ai sistemi informatici del target 22 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Intrusione Informatica Tentativo di accesso ai sistemi informatici del target G IN CK A D H N L A 24 O H O Y H B SC IT O LD DO am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Mantenimento Accesso Installazione di backdoor nella macchina compromessa 27 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Forensic duplicator fai da te... Tableau TD1 Acer Aspire Revo 28 1200€ 250€ am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Forensic duplicator fai da te... • Dhash - GUI e testuale, solo raw, calcolo multi hash • Guymager - solo GUI, raw, encase e afﬂib, 29 calcolo multi hash • Dcﬂdd, dc3dd - solo testuale, solo raw, calcolo multi hash • Dd rescue - solo testuale, solo raw Te am l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

IR pronto all’uso • DEFT Extra • Binari dei principali sistemi operativi Windows, Linux e OS X 30 • Nigilant32 - Winaudit • Process eXPlorer - Rootkit Revealer • Process Activity View - CurrProcess • Ultra search Te am l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Sistema compromesso Cosa fare? Non se ne accorge Formatta/Ripristina Esegue una analisi 10% 31 30% 60% am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Reazione ad un incidente informatico 32 am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Remotizzazione dei log Log management 33 Web server Data base Firewall Windows Server 2008 Client am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

L’importanza dei log di sistema remotizzati • In caso di cancellazione o alterazione dei log di sistema, si preserva una copia su un server remoto 34 • Confronto dei log remoti con quelli locali di ogni singolo sistema am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

IR check list Sistema in funzione • Analisi dei log degli apparati di rete • Dump di trafﬁco per l’individuazione di attività malevoli in corso 35 • Individuazione dei sistemi coinvolti • Utilizzo di tool su memoria esterna • Memoria esterna di sola lettura • Creazione di una time line degli eventi • Controllo degli hash dei ﬁle di sistema l ue Te amOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

IR check list Sistema spento • Analisi dei log degli apparati di rete • Dump di trafﬁco per l’individuazione di attività malevoli in corso 36 • Individuazione dei sistemi coinvolti • Spegnere il sistema ed acquisirlo • Analisi della memoria di massa in laboratorio • Creazione di una time line degli eventi • Controllo degli hash dei ﬁle di sistema Te am l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Controllo degli hash dei file di interesse Calcoliamo l’hash del file sperando di trovare qualcuno che abbia la stessa release e verificare? 37 NO! The National Software Reference Library (NSRL) http://www.nsrl.nist.gov am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Sophos anti rootkit 38 am Te http://www.sophos.com/it-it/products/free-tools/sophos-anti-rootkit.aspx ue lOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Cyber Warfare Ogni governo ha le proprie equipe specializzate 39 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Cyber Warfare L’organizzazione cyber militare cinese 40 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Cyber Warfare L’organizzazione cyber militare cinese 41 gno 2011 2 giu Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici americani. Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe” am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Cyber Warfare L’organizzazione cyber militare cinese 42 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Cyber Warfare L’organizzazione cyber militare cinese 43 23 Agosto 2011 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Formazione militare Information Warfare 44 Joint special operation university https://jsou.socom.mil/Pages/Default.aspx https://jsou.socom.mil/Pages/2009JSOUPublications.aspx am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Computer Forensic Il caso Bin Laden 45 am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Security e CF applicate al genio militare Architetture Intel e Sparc 46 Utilizzo anche di tecnologie sperimentali am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Formazione CertiﬁcataCyber Intelligence Tiger OSINT AnalystSicurezza Offensiva Offensive Security Certiﬁed ProfessionalResponse e Forensics Tiger Analyst Investigator 47 www.tigersecurity.itRe d am Te Te a m l ue October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Conclusioni Red Team ‣ Tutti i sistemi sono Vulnerabili ‣ A problematiche “Umane” non esiste cura (ingegneria sociale) ‣ Un colosso con soldi in prima battuta può ottenere dalla rete tutto ciò che desidera am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rgiovedì 20 ottobre 2011

Conclusioni Blue Team • Creazione di un piano di azione di IR che preveda le azioni da intraprendere in caso di incidente • Personalizzazione dei toolkit in base alla propria infrastruttura • Cristalizzazione delle evidence raccolte mediante le pratiche migliori della Computer Forensic • Personale dedicato per l’attività, anche in outsourcing am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Domande? 50October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietrogiovedì 20 ottobre 2011

Grazie per lʼattenzione. Emanuele Gentili Stefano Fratepietro 51 e.gentili @ tigersecurity.it stefano @ periziainformatica.eu www.tigersecurity.it www.deftlinux.net www.backtrack-linux.org steve.deftlinux.netRe d am Te Te a m l ue October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Bgiovedì 20 ottobre 2011

Backtrack e deftlinux_-_intelligence_security_response

by Emanuele Gentili on Oct 19, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Backtrack e deftlinux_-_intelligence_security_response — Presentation Transcript