Amato HackInBo 2013

  • 1,630 views
Uploaded on

Sicurezza all'Ombra delle Torri. …

Sicurezza all'Ombra delle Torri.
Le nuove armi digitali. Aziende ed Enti Governativi sono pronti?

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,630
On Slideshare
0
From Embeds
0
Number of Embeds
15

Actions

Shares
Downloads
48
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. HackInBo 2013 Le nuove armi digitali. Aziende ed Enti Governativi sono pronti? Gianni 'guelfoweb' Amato Bologna, 20 Settembre 2013
  • 2. Who is? ● Author : Gianni 'guelfoweb' Amato ● Site : www.securityside.it ● Blog : www.gianniamato.it ● Email : amato@securityside.it ● Twitter : @guelfoweb
  • 3. Agenda No, meglio raccontare una favoletta...
  • 4. La Cyber War Quali danni potrebbe arrecare a un paese? Attacco ai sistemi e infrastrutture critiche di un paese sfruttando unicamente le reti informatiche.
  • 5. Disagi Fonte: http://www.ilcittadinomb.it/stories/Cronaca/312127_lentate_-_asl/
  • 6. Prenotazioni online bloccate
  • 7. Pubblica Amministrazione in Tilt
  • 8. Ma anche... Panico e terrore
  • 9. Acqua, gas, rete elettrica fuori uso
  • 10. Gestione linee aeree e treni in Tilt
  • 11. Con CHI abbiamo a che fare?
  • 12. Con COSA abbiamo a che fare? Armi digitali – Tecniche di offuscamento – crittografia – 0day vulnerability
  • 13. History ● 2010: Stuxnet ● 2011: Duqu ● 2011: Gauss ● 2012: Mahdi ● 2012: Flame ● 2012: Wiper ● 2013:
  • 14. ● 2006 Governo Bush ● Attacchi digitali contro Iran ● Partecipazione Governo Israeliano ● Sabotaggio centrali nucleari Natanz ● Danneggiare le turbine Operation Olympic Games
  • 15. Stuxnet ● Individuato nel giugno 2010 ● Target: Sistemi SCADA ● Si diffonde via USB (solitamente i sistemi SCADA non sono collegati a Internet) ● Integra 2 certificati “trusted” ● Sfrutta 4 0day ● Password hard-coded nota ● Realtek è il primo certificato “trusted” recovato il 16 luglio ● Il 17 luglio una nuova variante presenta il certificato Jmicron
  • 16. Evidence ● Dall'analisi investigativa viene individuato il valore numerico “19790509” scritto nel registro di sistema Windows che si sospetta corrisponda alla data di nascita di uno degli sviluppatori “05/09/1979” o sia collegata all'esecuzione (per spionaggio) di Habib Elghanian, noto uomo d'affari ebreo conosciuto in Iran. ● La data di decesso / autodistruzione era fissata per il “26/06/2012”.
  • 17. Duqu ● Individuato nel settembre 2011 ● Target: valutare lo stato del programma nucleare iraniano ● Funzione di keylogger ● Sfrutta 0day ● Lo scopo è quello di carpire informazioni ● Usa certificati rubati ● L'analisi comportamentale lo riconduce a stuxnet
  • 18. Gauss ● Scoperto nel 2011, poco dopo Duqu. ● Rilevato in Libano, Israele, Palestina, USA, Emirati Arabi. ● Progettato per il furto di cookie, credenziali e conti bancari. ● Lavora con moduli aggiornati via Internet per ampliare le proprie funzioni. ● Kaspersky ipotizza sia stato creato dagli stessi autori di Stuxnet e Duqu.
  • 19. Mahdi ● Scoperto nel febbraio 2012 ● E' stato battezzato “Mahdi” per via di una stringa ricorrente nel codice del malware (fa riferimento al Messia Islamico) ● Sfrutta bug di Word e Power Point ● In questo caso non si conoscono gli autori ● Ha funzione di keylogger e cattura le schermate ● Sottrae file audio, testo e immagini
  • 20. Flame ● Individuato per la prima volta in aprile 2012 ● Si propaga tramite USB ● Usa falso certificato ● Ha funzioni di keylogger ● Sottrae documenti di testo e DWG (progetti Autocad) ● Cattura immagini ● Registra audio (conversazioni skype) ● Rilevate somiglianze con Stuxnet e Duqu ● Obiettivo: spionaggio industriale
  • 21. Flame 2008 Dall'analisi di uno dei componenti utilizzato da Flame, il file mssecmgr.ocx riporta come timeDatestamp la data del 9 dicembre 2008
  • 22. Wiper Un soldato in missione sul campo di battaglia per ripulire le tracce ● Cancella le tracce di Stuxnet e Duqu ● Alta priorità alla rimozione dei file .PNF (usati da Stuxnet) ● Rimozione dei dati utili ai tecnici forensi per ottenere prova del reato (Siamo ancora nel 2012)
  • 23. Casi recenti La vulnerabilità risiede in Firefox 17 ESR (Extended Support Release), non in TOR.
  • 24. Shellcode https://code.google.com/p/caffsec-malware-analysis/source/browse/trunk/TorFreedomHosting/torscript1.js
  • 25. Binario
  • 26. Traffico di rete
  • 27. Hostname e Mac Address
  • 28. 65.222.202.54
  • 29. Hesperbot Banking Trojan ● Rilevato nel settembre 2013 dai ricercatori ESET ● Target: operazioni di online banking ● Il file di configurazione presenta di default URL di banche della Repubbica Ceca, Turchia e Portogallo ● Sulla scia di ZeuS e SpyEye intercetta e modifica il traffico HTTP e HTTPS ● Sfrutta la funzione di webinject e from-grabber ● Usa moduli e plugin ● Dispone di ua componente per i sistemi mobile: Symbian – Blackberry - Android
  • 30. Cyber Attacks Timeline Credit: Paolo Passeri | http://hackmageddon.com/cyber-attacks-timeline-master-indexes/
  • 31. Non tutti gli attacchi sono così complessi
  • 32. Social (network) engineering Lo scorso anno, attraverso falsi profili facebook di donne attraenti i talebani sono riusciti ad ottenere un contatto diretto con le truppe australiane riuscendo a carpire segreti militari.
  • 33. Turista fai da te? No Alpitour? “Facciamo due conti: Alpitour: 23.309 fan, Villaggi Bravo 51.570, Francorosso 17.335 e Viaggidea 32.417 fan. Se li sommiamo abbiamo [..] abbiamo 124.631 persone esposte a link malevoli. Un ottimo risultato.” http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-facebook-hackerate/
  • 34. Come sta reagendo l'Italia? Il nostro paese è ancora fin troppo legato al vecchio concetto di guerra. Banche, istituti e agenzie governative, industria militare, associazioni politiche, università, sono costantemente sottoposti ad attacchi informatici, ogni giorno sempre più complessi e articolati. Motivo per cui anche l'Italia si è dotata di CSIRT. Purtroppo sono ancora pochi gli Enti italiani che ne dispongono.
  • 35. Computer Security Incident Response Team http://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-italian/at_download/fullReport
  • 36. Computer Security Incident Response Team ✔ Gruppo di professionisti IT Security che aiuta gli enti ad attenuare e prevenire gli incidenti informatici. ✔ Gestiscono e forniscono risposta agli incidenti informatici. ✔ Giuridicamente preparati per affrontare questioni legali. ✔ Sempre aggiornati sulle nuove vulnerabilità.
  • 37. Decreto – Un CERT Nazionale
  • 38. Governo.it “Gli attacchi alla sicurezza informatica negli ultimi anni hanno avuto una crescita esponenziale. Assinform stima che il 40% degli attacchi richiedono almeno 4 giorni per essere risolti. Nel 90% dei casi l’attacco ha successo a causa dell’errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche. I costi sostenuti da privati e PA per proteggersi sono consistenti: Gartner li quantifica in 55 miliardi di dollari nel 2011, 60 nel 2012 e 86 (stimati) entro il 2016.” http://www.governo.it/Presidenza/Comunicati/testo_int.asp?d=70337
  • 39. Ancora una firma qui... Banche, Università, Aziende che erogano servizi attraverso la rete Internet non ammetteranno mai di aver subito attacchi che hanno compromesso - o hanno rischiato di compromettere - informazioni riservate e/o i dati degli utenti/clienti. “La banca declina ogni responsabilità...”
  • 40. Zeus-In-The-MObile (ZITMO) SMS con Link (security update) Download Malware Detect SMS Bank (code)
  • 41. Nel mirino dei cybercriminali
  • 42. Ransomware: ha fruttato 1 milione di euro per ogni campagna di attacchi
  • 43. Business ● 1 carta Visa/Mastercard ~ 5$ - 25$ ● 1000 Carte di Credito ~ 1500$ ● 1 Idendità digitale ~ 3$ - 20$ ● Crimeware Kit ZueS e SpyEye ~ 500$ - 1000$ (per le ultime release) ● Plugin ~ 50$ - 100$
  • 44. Crime Pack Exploit Kit
  • 45. YouTube Video Tutorial
  • 46. ● Violazione e compromissione di web server e siti legittimi. ● Inclusione di codice. ● Largo uso di exploit e 0day vulnerability. Processo di reclutamento Zombie #1
  • 47. Shodan - phpinfo()
  • 48. Shodan - WAMPSERVER
  • 49. Processo di reclutamento Zombie #2 ● Download ed esecuzione codice maligno. ● Controllo della macchina. ● Comunicazione con C&C. ● Esecuzione comandi da remoto. Un esempio per tutti SpyEye e ZeuS.
  • 50. SpyEye Story ● La prima versione risale al 2009 ● Progettato dai Russi ● 500$ al mercato nero ● Inizialmente nato per accaparrarsi una fetta del mercato di ZeuS ● A differenza di ZeuS, le prime versioni di Spyeye risultano rumorose. ● Non ha un target ben definito. ● Non usa una whitelist. ● Non è stata prevista la funzione di webinject.
  • 51. SpyEye Features ● Formgrabber ● Autofill credit card modules ● Daily email backup ● Ftp protocol grabber ● Encrypted config file ● Pop3 grabber ● Http basic access authorization grabber
  • 52. Offerte Speciali ● 300$ senza modulo VNC ● 800$ versione completa Il vero business sono i moduli aggiuntivi – In particolare le richieste personalizzate
  • 53. Dentro SpyeEye
  • 54. Due file di configurazione Main Grabber
  • 55. Pronti per il Login
  • 56. Builder
  • 57. Comunicazioni al C&C
  • 58. HTTPS Authentication Ambiente di test compromesso da SpyEye
  • 59. Form Grab C&C
  • 60. Altri modi per monetizzare Innovazioni subdole per stracciare la concorrenza – Individuazione ed estrazione automatica di carte di credito dalle macchine compromesse – Generazione di vendite fasulle su negozi online
  • 61. BillingHammer Feature Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione: – ClickBank – FastSpring – Esellerate – SetSystems – Shareit Dal pannello di controllo SpyEye è possibile gestire task automatici Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer che a intervalli definiti lanci la compilazione dei campi sul sito del negozio online per completare l'acquisto.
  • 62. Monetizzare Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql xyzBank $ Zombie freeware $ Credit Card $$$ Noleggio Botnet DDoS Vendita Carte di Credito $ $ Vendita Identità Digitale $
  • 63. Operazioni mirate Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql TARGET Zombie Credit Card Commissionate?
  • 64. Siamo pronti? Ma più che altro, siamo in grado di stare al passo?
  • 65. Grazie per l'attenzione :-) Domande?