• Save
Strategie e strumenti_in_ambiti_di_cyberwar
Upcoming SlideShare
Loading in...5
×
 

Strategie e strumenti_in_ambiti_di_cyberwar

on

  • 1,060 views

Durante l'intervento verranno illustrate alcune sfide tecnologiche in ambiente di cyberwar, un vero e proprio incontro tra il red team, cioè la taskforce specializzata nella raccolta di informazioni ...

Durante l'intervento verranno illustrate alcune sfide tecnologiche in ambiente di cyberwar, un vero e proprio incontro tra il red team, cioè la taskforce specializzata nella raccolta di informazioni e nell'intrusione dei sistemi, ed il blue team, la task force specializzata nella difesa e nel contrasto proattivo di minacce digitali.

Verranno mostrati alcuni strumenti utilizzati ad oggi come risorsa primaria da grandi aziende e da enti di intelligence governativi e militari della difesa, tra cui la National Security Agency, illustrando le pratiche migliori di azione e reazione in contesti di proattività e di analisi post evento.

Target: Militari, forze dell'ordine, responsabili della sicurezza aziendale, sistemisti, sviluppatori.

Statistics

Views

Total Views
1,060
Views on SlideShare
1,054
Embed Views
6

Actions

Likes
1
Downloads
0
Comments
0

2 Embeds 6

http://www.gentilisecurity.com 4
http://www.offensive-security.it 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Strategie e strumenti_in_ambiti_di_cyberwar Strategie e strumenti_in_ambiti_di_cyberwar Presentation Transcript

  • Strategie e strumenti in ambiti di CYBER WAR L’incontro tra il red team ed il blue teamRe amm d Te Emanuele Gentili Alessandro Scoscia TeTea a m l uelue B Bmartedì 3 luglio 12
  • Obiettivi ‣ Dimostrare che la guerra digitale esiste e viene praticata quotidianamente ‣ Dimostrare che c’e’ la necessità di proteggere le infrastrutture informatiche con personale competente e pro-attivo 2 ‣ Dimostrare che alcuni governi applicano politiche aggressive nel cyber spazio ‣ Dimostrare che sono necessarie politiche di difesa e raccolta di informazioniRe d am Te Te a m Emanuele Gentili Alessandro Scoscia ue l Bmartedì 3 luglio 12
  • Emanuele Gentili Amministratore unico di Tiger Security S.r.l. Offensive Security Certified Professional Trainer 3 Security and Cyber Intelligence Advisor European Project Leader in BackTrack Linux - Penetration Test OS http://www.emanuelegentili.eu http://www.tigersecurity.it http://www.twitter.com/emgent http://www.backtrack-linux.org http://it.linkedin.com/in/emanuelegentili http://www.exploit-db.com am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12 View slide
  • Alessandro Scoscia Socio e Project Manager in Tiger Security S.r.l. Master in “Sicurezza dei sistemi e delle reti informatiche per limpresa e la Pubblica Amministrazione” 4 IBM Professional Service Specialist Certified Clavister Network Specialist Certified 3Com Certified Specialist http://www.tigersecurity.it http://www.alessandroscoscia.it http://www.backtrack.it http://www.twitter.com/a_scoscia http://www.fondazionebassetti.org http://it.linkedin.com/in/alessandroscoscia am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12 View slide
  • BackTrack Linux 5 am am Te Te Emanuele Gentili Alessandro Scoscia ue led B Rmartedì 3 luglio 12
  • BackTrack Linux Distribuzione GNU/Linux Live installabile per attività di cyber intelligence e di Penetration Test. Nasce nel 2006 come progetto indipendente Oltre 600 tools per svolgere test di sicurezza ed investigazione. Rispetto delle Metodologie STANDARD internazionali PTES, OSSTMM, OWASP, OSINT. 6 Piu’ di nove milioni di download unici dalle nostre infrastrutture ( 9,237,811 - 03 Marzo 2012) Oggi è sviluppata e gestita da due società del settore ( Offensive Security e Tiger Security ) Utilizzata da agenzie di intelligence e reparti governativi della difesa. www.backtrack-linux.org am am Te Te Emanuele Gentili Alessandro Scoscia ue led B Rmartedì 3 luglio 12
  • BackTrack Linux Cyber Defense Exercise “ Se avessi avuto Back|Track Linux qualche anno fa, mi avrebbe fatto risparmiare molto tempo.” Kevin D. Mitnick “ Back|Track è la via più veloce per andare dal boot del sistema locale all’ accesso root del 7 sistema che vuoi attaccare ” H.D. Moore “ Back|Track è l’ arma utilizzata dai ninja hacker. ” www.nsa.gov Johnny Long am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • DEFT Linux 8 am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • DEFT Digital Evidence & Forensic Toolkit Nato nel 2005 in collaborazione con la cattedra del corso di Informatica Forense dell’Università degli studi di Bologna. Dal 2007 diventa un progetto indipendente. Fornisce una serie di soluzioni multi piattaforma per la risoluzione di 9 problematiche di Computer Forensic e Incident Response Team composto da 6 persone, tutte italiane, di cui 3 in forza presso la GdF e la Polizia www.deftlinux.it Postale am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • Il Panorama 10 am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • Il panorama attuale ? Aziende, Banche e Privati Governo A Governo B Collaborazione Pr ofila z ion ee co 11 ntr ast Pro o filaz ion Att ee i atic Attacchi informatici acc Collaborazione con rm h i in info tra for sto hi m acc atic Att i Ethical Hackers Hacktivisti Black Hat HackerRe d am Te Te a m Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • La situazione Italiana Cybercooperation, cyberwarfare and cybersecurity on the eve of 21st Century (Roma) Senatore Esposito: “LItalia - spiega il senatore Esposito - è impreparata mentalmente e strutturalmente ad affrontare gli attacchi informatici alle sue infrastrutture digitali. Occorre al più presto una cabina di regia che coordini, con il livello politico, la difesa 12 informatica presso la Presidenza del Consiglio, ispirata a qualche modello già adottato da altri stati sensibili a questo problema. Cè anche unaltra carenza italiana: manca un centro di raccolta dei dati sugli attacchi. LItalia non può devolvere la propria sovranità agli Usa o alla Nato”. am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • La Cyberwar Il ciberspazio è un campo di battaglia come nessun altro prima. Nel cyberspace i nemici non mostrano bandiere, non è possibile definire la loro posizione e qualunque astuzia può essere utilizzata come nuovo vettore di attacco. Non ci sono, di fatto, algoritmi speciali o strumenti a disposizione esclusiva di una sola delle parti. Nessun gruppo e nessun singolo governo è stato infatti in grado di 13 monopolizzare lo sviluppo di armi digitali. I rapporti di forza tra nemici non hanno nessuna attinenza con quelli che siamo abituati ad ritenere validi per il mondo fisico. am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • La Cyberwar Non esiste un codice civile, penale o militare universalmente riconosciuto. Ogni contendente, nei fatti, non segue altro che che le proprie regole. Nel ciberspazio la guerra è una lotta tra etiche ed intelligenze (o demenze?). Nella rete ogni battaglia è spesso combattuta senza conoscere effettivamente le risorse, sia economiche sia tecnologiche, del proprio avversario. 14 Recuperare gli indizi di un attacco, le “evidenze”, è compito degli esperti di computer forensic. Sulla base delle loro indicazioni possono essere dedotte strategie, tecnologie e la reale (o presunta tale) identità dei nemici. am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • Strategie e Processi 15 Operativi am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • Introduzione Strategie e Processi Operativi (Blue Team) Attività preventive: 1. Implementare policy di verifica con un approccio di “sicurezza offensiva” (aumentare la sicurezza della propria infrastruttura attaccandola, verificando ed eliminando vulnerabilità - avvalendosi di operatività amica - prima che queste attività le faccia qualcun altro, magari con cattive intenzioni). 16 2. Predisporre piani di business continuity 3. Utilizzare strumenti GRC (Governance, Risk Management, and Compliance) e SIEM (Security Information and Event Management) am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • Introduzione Strategie e Processi Operativi (Blue Team) Attività a seguito della individuazione di un problema/anomalia 17 Spegnimento ed Analisi ed Attività di verifica acquisizione dei server Investigazione in produzione am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • Battefield forensic Acquisizione dati in ambiente ostile richiedono strumenti tecnologici standard ma nuove metodologie e protocolli. Le unità operative sul terreno comunicano tra loro digitalmente, con continuità, tra loro e con le strutture di comando (lasciando 18 a loro volta “evidenze” di comunicazione). Richiede formazione specifica del personale coinvolto nelle operazioni (esempio: gestione degli strumenti e dei supporti da analizzare successivamente alle operatività sul campo). am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • Strategie e Processi 19 Operativi am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Introduzione Strategie e Processi Operativi Individuazione (Red Team) TARGET WorkFlow di una attività intrusiva strutturata Cyber Penetration Privilege 20 Intelligence Escalation ? Diversivo Mantenimento Attività Accesso am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Cyber Intelligence Individuare un punto di accesso a volte è più semplice di quanto si possa pensare. 21 Iniziando dalle basi: DNS Google Dork am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Cyber Intelligence (DNS) CASO REALE Individuare la lista degli “inpoint” di CISCO Inc. 22 air:tmp % ls -lha cz.txt -rwxr-xr-x@ 1 emgent wheel 29M 21 Mar 22:48 cz.txt air:tmp % am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Cyber Intelligence (DNS) -- snip -- vpnsc-build1.cisco.com. 86400 IN CNAME kliao2-u10.cisco.com. vpnsc-build2.cisco.com. 86400 IN CNAME kliao3-u10.cisco.com. vpnsc-ha-sw.cisco.com. 86400 IN A 192.168.118.153 vpnsc-pc1.cisco.com. 86400 IN A 192.168.116.29 vpnsc-pfx.cisco.com. 86400 IN CNAME nsmbu-pfx.cisco.com. vpnsc-tgs1.cisco.com. 86400 IN A 192.168.116.12 vpnsc-tgs2.cisco.com. 86400 IN A 192.168.116.13 vpnsc1.cisco.com. 86400 IN A 172.17.111.42 vpnsc1-sb150.cisco.com. 86400 IN A 128.107.128.96 23 vpnsc2-sb150.cisco.com. 86400 IN A 128.107.128.12 vpntest-u5.cisco.com. 86400 IN A 172.23.56.72 vpntest-ultra1.cisco.com. 86400 IN A 172.23.56.147 vpntest-ultra2.cisco.com. 86400 IN A 172.23.60.29 vpntest1.cisco.com. 86400 IN A 171.70.152.67 vpntest2.cisco.com. 86400 IN A 171.70.152.68 vpntest4.cisco.com. 86400 IN A 171.70.152.70 vpntest5.cisco.com. 86400 IN A 171.70.152.71 wan-vpn-gw1.cisco.com. 86400 IN A 171.68.0.202 wan-vpn-gw1-con.cisco.com. 86400 IN CNAME sjck-noc-cs3-p41.cisco.com. warnerm-outbandvpn.cisco.com. 86400 IN A 64.104.197.245 wbeek-vpn.cisco.com. 86400 IN A 10.32.250.209 wmertens-vpn.cisco.com. 86400 IN A 10.50.39.153 wmertens-vpn1.cisco.com. 86400 IN A 10.50.39.154 wmertens-vpn2.cisco.com. 86400 IN A 10.50.39.155 wmertens-vpn3.cisco.com. 86400 IN A 10.50.39.156 wmertens-vpn4.cisco.com. 86400 IN A 10.50.39.157 wmertens-vpn5.cisco.com. 86400 IN A 10.50.39.158 wushw121017-ypd-vpnsjcl.cisco.com. 86400 IN A 171.69.82.105 wusmf133791-z7h-vpnsjcl.cisco.com. 86400 IN A 171.69.82.104 wustb200016-421-vpnsjcl.cisco.com. 86400 IN A 171.69.82.107 yinchen-vpn.cisco.com. 86400 IN A 128.107.146.176 yukyamam-vpn3002.cisco.com. 86400 IN A 10.70.84.49 zafkhan-vpn.cisco.com. 86400 IN A 171.69.100.44 -- snip -- am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Cyber Intelligence (DNS) CASO REALE Individuare la lista degli “inpoint” dell’agenzia 24 aereospaziale iraniana. am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Cyber Intelligence (DNS) -- snip -- aeoi.org.ir name server ns1.aeoi.org.ir. aeoi.org.ir name server ns2.aeoi.org.ir. aeoi.org.ir name server ns3.aeoi.org.ir. aeoi.org.ir has address 217.218.11.169 azmoon.aeoi.org.ir has address 80.191.7.221 azmoon.aeoi.org.ir has address 80.191.32.15 azmoon.aeoi.org.ir has address 217.218.11.167 basij.aeoi.org.ir has address 80.191.7.221 basij.aeoi.org.ir has address 217.218.11.167 25 ebook.aeoi.org.ir has address 80.191.7.221 ebook.aeoi.org.ir has address 80.191.32.15 ebook.aeoi.org.ir has address 217.218.11.167 emailserver.aeoi.org.ir has address 80.191.7.222 emailserver.aeoi.org.ir has address 80.191.32.4 emailserver.aeoi.org.ir has address 217.218.11.169 inis.aeoi.org.ir has address 80.191.32.13 inis.aeoi.org.ir has address 217.218.11.164 inra.aeoi.org.ir has address 80.191.7.221 inra.aeoi.org.ir has address 80.191.32.15 inra.aeoi.org.ir has address 217.218.11.167 mail.aeoi.org.ir.aeoi.org.ir has address 80.191.32.4 journal.aeoi.org.ir has address 80.191.32.30 journal.aeoi.org.ir has address 217.218.11.177 mail.aeoi.org.ir has address 80.191.7.222 mail.aeoi.org.ir has address 80.191.32.4 mail.aeoi.org.ir has address 217.218.11.169 scc.aeoi.org.ir has address 80.191.7.220 scc.aeoi.org.ir has address 80.191.32.9 scc.aeoi.org.ir has address 217.218.11.168 simorgh.aeoi.org.ir has address 80.191.32.8 simorgh.aeoi.org.ir has address 217.218.11.171 tamas.aeoi.org.ir has address 80.191.32.6 -- snip -- am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Cyber Intelligence (Google Dork) CASO REALE Individuare documenti di stampo confidenziale militare 26 attraverso google. am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Cyber Intelligence (Google Dork) 27 am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Penetration 28 am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Penetration G IN CK A D 29 H N L A O H O Y H B SC IT O LD DO am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Penetration 30 am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Penetration 31 am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Cronistoria delle 32 operazioni recenti am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Hacktivisti vs Governi 33 am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Hacktivisti vs Aziende 34 am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Blackhat vs Aziende, Banche e Privati 35 am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Governi VS Hacktivisti 36 am Te Emanuele Gentili Alessandro Scoscia e lu Bmartedì 3 luglio 12
  • Governi VS Blackhat 37 am Te Emanuele Gentili Alessandro Scoscia e lu Bmartedì 3 luglio 12
  • Governi VS GOVERNI 38 Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici del governo americano. Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe.” am Te Emanuele Gentili Alessandro Scoscia l ue Bmartedì 3 luglio 12
  • INFORMAZIONE 39 DEGNA DI NOTA am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • L’organizzazione CYBER militare cinese 40 23 Agosto 2011 am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Conclusioni 41 RED TEAM am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Conclusioni Red Team ‣ Gli attaccanti risiedono in posizione privilegiata. ‣ I fattori “tempo” e “risorse” sono spesso 42 fondamentali ma non necessari. ‣ A problematiche “Umane” non esiste cura (ingegneria sociale). am Emanuele Gentili Alessandro Scoscia Te ed Rmartedì 3 luglio 12
  • Conclusioni 43 BLUE TEAM am Te Emanuele Gentili Alessandro Scoscia e lu Bmartedì 3 luglio 12
  • Conclusioni Blue Team ‣ La miglior difesa è la conoscenza delle tecniche di attacco. ‣ Architetture complesse richiedono un’attenta 44 progettazione. ‣ Eseguire “cyber defence excercises”. ‣ A problematiche “Umane” non esiste cura (curare la formazione del personale). am Te Emanuele Gentili Alessandro Scoscia e lu Bmartedì 3 luglio 12
  • Grazie per 45 l’attenzione Emanuele Gentili Alessandro Scosciamartedì 3 luglio 12