Amato HackInBo 2013
Upcoming SlideShare
Loading in...5
×
 

Amato HackInBo 2013

on

  • 1,702 views

Sicurezza all'Ombra delle Torri.

Sicurezza all'Ombra delle Torri.
Le nuove armi digitali. Aziende ed Enti Governativi sono pronti?

Statistics

Views

Total Views
1,702
Views on SlideShare
826
Embed Views
876

Actions

Likes
2
Downloads
42
Comments
0

14 Embeds 876

http://www.hackinbo.it 564
http://www.gianniamato.it 268
http://cloud.feedly.com 15
http://jobmanagement.it 5
http://reader.aol.com 5
https://twitter.com 4
http://feeds.feedburner.com 4
http://reader.aol.it 3
http://www.inoreader.com 2
http://www.newsblur.com 2
http://webcache.googleusercontent.com 1
http://yoleoreader.com 1
http://www.feedspot.com 1
http://127.0.0.1 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Amato HackInBo 2013 Amato HackInBo 2013 Presentation Transcript

  • HackInBo 2013 Le nuove armi digitali. Aziende ed Enti Governativi sono pronti? Gianni 'guelfoweb' Amato Bologna, 20 Settembre 2013
  • Who is? ● Author : Gianni 'guelfoweb' Amato ● Site : www.securityside.it ● Blog : www.gianniamato.it ● Email : amato@securityside.it ● Twitter : @guelfoweb
  • Agenda No, meglio raccontare una favoletta...
  • La Cyber War Quali danni potrebbe arrecare a un paese? Attacco ai sistemi e infrastrutture critiche di un paese sfruttando unicamente le reti informatiche.
  • Disagi Fonte: http://www.ilcittadinomb.it/stories/Cronaca/312127_lentate_-_asl/
  • Prenotazioni online bloccate
  • Pubblica Amministrazione in Tilt
  • Ma anche... Panico e terrore
  • Acqua, gas, rete elettrica fuori uso
  • Gestione linee aeree e treni in Tilt
  • Con CHI abbiamo a che fare?
  • Con COSA abbiamo a che fare? Armi digitali – Tecniche di offuscamento – crittografia – 0day vulnerability
  • History ● 2010: Stuxnet ● 2011: Duqu ● 2011: Gauss ● 2012: Mahdi ● 2012: Flame ● 2012: Wiper ● 2013:
  • ● 2006 Governo Bush ● Attacchi digitali contro Iran ● Partecipazione Governo Israeliano ● Sabotaggio centrali nucleari Natanz ● Danneggiare le turbine Operation Olympic Games
  • Stuxnet ● Individuato nel giugno 2010 ● Target: Sistemi SCADA ● Si diffonde via USB (solitamente i sistemi SCADA non sono collegati a Internet) ● Integra 2 certificati “trusted” ● Sfrutta 4 0day ● Password hard-coded nota ● Realtek è il primo certificato “trusted” recovato il 16 luglio ● Il 17 luglio una nuova variante presenta il certificato Jmicron
  • Evidence ● Dall'analisi investigativa viene individuato il valore numerico “19790509” scritto nel registro di sistema Windows che si sospetta corrisponda alla data di nascita di uno degli sviluppatori “05/09/1979” o sia collegata all'esecuzione (per spionaggio) di Habib Elghanian, noto uomo d'affari ebreo conosciuto in Iran. ● La data di decesso / autodistruzione era fissata per il “26/06/2012”.
  • Duqu ● Individuato nel settembre 2011 ● Target: valutare lo stato del programma nucleare iraniano ● Funzione di keylogger ● Sfrutta 0day ● Lo scopo è quello di carpire informazioni ● Usa certificati rubati ● L'analisi comportamentale lo riconduce a stuxnet
  • Gauss ● Scoperto nel 2011, poco dopo Duqu. ● Rilevato in Libano, Israele, Palestina, USA, Emirati Arabi. ● Progettato per il furto di cookie, credenziali e conti bancari. ● Lavora con moduli aggiornati via Internet per ampliare le proprie funzioni. ● Kaspersky ipotizza sia stato creato dagli stessi autori di Stuxnet e Duqu.
  • Mahdi ● Scoperto nel febbraio 2012 ● E' stato battezzato “Mahdi” per via di una stringa ricorrente nel codice del malware (fa riferimento al Messia Islamico) ● Sfrutta bug di Word e Power Point ● In questo caso non si conoscono gli autori ● Ha funzione di keylogger e cattura le schermate ● Sottrae file audio, testo e immagini
  • Flame ● Individuato per la prima volta in aprile 2012 ● Si propaga tramite USB ● Usa falso certificato ● Ha funzioni di keylogger ● Sottrae documenti di testo e DWG (progetti Autocad) ● Cattura immagini ● Registra audio (conversazioni skype) ● Rilevate somiglianze con Stuxnet e Duqu ● Obiettivo: spionaggio industriale
  • Flame 2008 Dall'analisi di uno dei componenti utilizzato da Flame, il file mssecmgr.ocx riporta come timeDatestamp la data del 9 dicembre 2008
  • Wiper Un soldato in missione sul campo di battaglia per ripulire le tracce ● Cancella le tracce di Stuxnet e Duqu ● Alta priorità alla rimozione dei file .PNF (usati da Stuxnet) ● Rimozione dei dati utili ai tecnici forensi per ottenere prova del reato (Siamo ancora nel 2012)
  • Casi recenti La vulnerabilità risiede in Firefox 17 ESR (Extended Support Release), non in TOR.
  • Shellcode https://code.google.com/p/caffsec-malware-analysis/source/browse/trunk/TorFreedomHosting/torscript1.js
  • Binario
  • Traffico di rete
  • Hostname e Mac Address
  • 65.222.202.54
  • Hesperbot Banking Trojan ● Rilevato nel settembre 2013 dai ricercatori ESET ● Target: operazioni di online banking ● Il file di configurazione presenta di default URL di banche della Repubbica Ceca, Turchia e Portogallo ● Sulla scia di ZeuS e SpyEye intercetta e modifica il traffico HTTP e HTTPS ● Sfrutta la funzione di webinject e from-grabber ● Usa moduli e plugin ● Dispone di ua componente per i sistemi mobile: Symbian – Blackberry - Android
  • Cyber Attacks Timeline Credit: Paolo Passeri | http://hackmageddon.com/cyber-attacks-timeline-master-indexes/
  • Non tutti gli attacchi sono così complessi
  • Social (network) engineering Lo scorso anno, attraverso falsi profili facebook di donne attraenti i talebani sono riusciti ad ottenere un contatto diretto con le truppe australiane riuscendo a carpire segreti militari.
  • Turista fai da te? No Alpitour? “Facciamo due conti: Alpitour: 23.309 fan, Villaggi Bravo 51.570, Francorosso 17.335 e Viaggidea 32.417 fan. Se li sommiamo abbiamo [..] abbiamo 124.631 persone esposte a link malevoli. Un ottimo risultato.” http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-facebook-hackerate/
  • Come sta reagendo l'Italia? Il nostro paese è ancora fin troppo legato al vecchio concetto di guerra. Banche, istituti e agenzie governative, industria militare, associazioni politiche, università, sono costantemente sottoposti ad attacchi informatici, ogni giorno sempre più complessi e articolati. Motivo per cui anche l'Italia si è dotata di CSIRT. Purtroppo sono ancora pochi gli Enti italiani che ne dispongono.
  • Computer Security Incident Response Team http://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-italian/at_download/fullReport
  • Computer Security Incident Response Team ✔ Gruppo di professionisti IT Security che aiuta gli enti ad attenuare e prevenire gli incidenti informatici. ✔ Gestiscono e forniscono risposta agli incidenti informatici. ✔ Giuridicamente preparati per affrontare questioni legali. ✔ Sempre aggiornati sulle nuove vulnerabilità.
  • Decreto – Un CERT Nazionale
  • Governo.it “Gli attacchi alla sicurezza informatica negli ultimi anni hanno avuto una crescita esponenziale. Assinform stima che il 40% degli attacchi richiedono almeno 4 giorni per essere risolti. Nel 90% dei casi l’attacco ha successo a causa dell’errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche. I costi sostenuti da privati e PA per proteggersi sono consistenti: Gartner li quantifica in 55 miliardi di dollari nel 2011, 60 nel 2012 e 86 (stimati) entro il 2016.” http://www.governo.it/Presidenza/Comunicati/testo_int.asp?d=70337
  • Ancora una firma qui... Banche, Università, Aziende che erogano servizi attraverso la rete Internet non ammetteranno mai di aver subito attacchi che hanno compromesso - o hanno rischiato di compromettere - informazioni riservate e/o i dati degli utenti/clienti. “La banca declina ogni responsabilità...”
  • Zeus-In-The-MObile (ZITMO) SMS con Link (security update) Download Malware Detect SMS Bank (code)
  • Nel mirino dei cybercriminali
  • Ransomware: ha fruttato 1 milione di euro per ogni campagna di attacchi
  • Business ● 1 carta Visa/Mastercard ~ 5$ - 25$ ● 1000 Carte di Credito ~ 1500$ ● 1 Idendità digitale ~ 3$ - 20$ ● Crimeware Kit ZueS e SpyEye ~ 500$ - 1000$ (per le ultime release) ● Plugin ~ 50$ - 100$
  • Crime Pack Exploit Kit
  • YouTube Video Tutorial
  • ● Violazione e compromissione di web server e siti legittimi. ● Inclusione di codice. ● Largo uso di exploit e 0day vulnerability. Processo di reclutamento Zombie #1
  • Shodan - phpinfo()
  • Shodan - WAMPSERVER
  • Processo di reclutamento Zombie #2 ● Download ed esecuzione codice maligno. ● Controllo della macchina. ● Comunicazione con C&C. ● Esecuzione comandi da remoto. Un esempio per tutti SpyEye e ZeuS.
  • SpyEye Story ● La prima versione risale al 2009 ● Progettato dai Russi ● 500$ al mercato nero ● Inizialmente nato per accaparrarsi una fetta del mercato di ZeuS ● A differenza di ZeuS, le prime versioni di Spyeye risultano rumorose. ● Non ha un target ben definito. ● Non usa una whitelist. ● Non è stata prevista la funzione di webinject.
  • SpyEye Features ● Formgrabber ● Autofill credit card modules ● Daily email backup ● Ftp protocol grabber ● Encrypted config file ● Pop3 grabber ● Http basic access authorization grabber
  • Offerte Speciali ● 300$ senza modulo VNC ● 800$ versione completa Il vero business sono i moduli aggiuntivi – In particolare le richieste personalizzate
  • Dentro SpyeEye
  • Due file di configurazione Main Grabber
  • Pronti per il Login
  • Builder
  • Comunicazioni al C&C
  • HTTPS Authentication Ambiente di test compromesso da SpyEye
  • Form Grab C&C
  • Altri modi per monetizzare Innovazioni subdole per stracciare la concorrenza – Individuazione ed estrazione automatica di carte di credito dalle macchine compromesse – Generazione di vendite fasulle su negozi online
  • BillingHammer Feature Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione: – ClickBank – FastSpring – Esellerate – SetSystems – Shareit Dal pannello di controllo SpyEye è possibile gestire task automatici Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer che a intervalli definiti lanci la compilazione dei campi sul sito del negozio online per completare l'acquisto.
  • Monetizzare Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql xyzBank $ Zombie freeware $ Credit Card $$$ Noleggio Botnet DDoS Vendita Carte di Credito $ $ Vendita Identità Digitale $
  • Operazioni mirate Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql TARGET Zombie Credit Card Commissionate?
  • Siamo pronti? Ma più che altro, siamo in grado di stare al passo?
  • Grazie per l'attenzione :-) Domande?