Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Reati Informatici e Investigazioni Digitali

on

  • 2,333 views

Seminario del 27/10/2010 Padova

Seminario del 27/10/2010 Padova

Statistics

Views

Total Views
2,333
Views on SlideShare
2,011
Embed Views
322

Actions

Likes
1
Downloads
63
Comments
0

5 Embeds 322

http://www.denisfrati.it 160
http://www.gianniamato.it 159
http://static.slidesharecdn.com 1
http://www.netvibes.com 1
http://translate.googleusercontent.com 1

Accessibility

Upload Details

Uploaded via as OpenOffice

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Reati Informatici e Investigazioni Digitali Reati Informatici e Investigazioni Digitali Presentation Transcript

  • Reati Informatici e Investigazioni digitali
      Gianni 'guelfoweb' Amato Seminario - Piove di Sacco (PD) - 27/11/2010
  • Black Market
      Symantec Intelligence Quarterly Report di aprile – giugno 2010
      • Un volume di affari di 210 milioni di euro
  • Black Market
      Quanto costano gli incidenti informatici?
      • Il valore delle informazioni digitali rubate nel 2009 è stato di 1 trilione di dollari
      • il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro
      • 23 milioni di Euro è il costo massimo ad oggi sostenuto da una azienda colpita da un attacco informatico.
  • Black Market
      Target: furto di dati sensibili
      • Numeri di carte di credito
      • Numeri di conto corrente
      • Identità digitale (147 euro è il costo medio per identità compromessa sostenuta in azienda)
  • Black Market
      Il malware dal 2008 ad oggi
      • Una crescita del 71%
      • Il 78% del malware ha funzionalità di esportazione dati
  • Black Market
      Acquisti al mercato nero
      • 1000 carte di credito a 1500$
      • 1 identità digitale 3$-20$
      • Indirizzi email. Attività lecita (?)
  • Black Market
      Crimeware kit
      • Sempre più semplice sferrare attacchi
      • Sottrarre informazioni personali
      • Costi accessibili
      • 700$ ZeuS Kit. (Gratis per chi sa cercare)
  • Cyber War
      Le Nazioni Unite temono che la guerra combattuta attraverso la Rete possa presto diventare una minaccia reale per tutto il mondo
      • Una cyberwar è peggio di uno tsunami
      • Un attacco digitale è parificabile a un attacco reale
      La proposta delle Nazioni Unite è quella di un accordo tale per cui ogni paese firmatario si impegna a non scagliare per primo un cyberattacco contro un’altra nazione
  • Cyber War
    • Target: Infrastrutture Critiche
  • Cyber War
      Stuxnet attacco alle centrali nucleari
      • Target: Iran e gli esperimenti con l'energia nucleare
      • Per volere del Mossad israeliano (?)
  • Cyber War
      Stuxnet nel mirino i sistemi SCADA
      • Soluzioni Siemens per la gestione dei sistemi industriali
      • Windows + WinCC + PCS 7
  • Cyber War
      Stuxnet. Una password DB vecchia due anni
      • SCADA System’s Hard-Coded Password Circulated Online for Years
      • It’s not known how long the WinCC database password has been circulating privately among computer intruders, but it was published online in 2008 at a Siemens technical forum, where a Siemens moderator appears to have deleted it shortly thereafter. The same anonymous user, “Cyber,” also posted the password to a Russian-language Siemens forum at the same time, where it has remained online for two years.
  • Cyber War
      Stuxnet un malware firmato
      • Gli autori erano in possesso dei certificati digitali
      • Realtek e JMicron
  • Cyber War
      Stuxnet un malware firmato
      • Verisign revoca i certificati il 16 luglio
      • Il 17 luglio viene rilevata una versione di Stuxnet con i drivers rubati a JMicron
  • Cyber War
      Stuxnet sfrutta 5 vulnerabilità Windows
      • Inizialmente la vulnerabilità LNK
      • Con le analisi successive si è scoperto che il malware sfrutta in totale ben 5 vulnerabilità
  • Cyber War
      Stuxnet e il misterioso numero 19790509
      • Il valore numerico trovato nel registro di sistema delle macchine compromesse è stato interpretato come la possibile data di nascita di uno degli autori: 09/05/1979
      • Sophos: http://goo.gl/rHYic
  • Cyber War
      Stuxnet non è ancora finita
      • E' notizia di questa settimana: ”Iran: Debka, Stuxnet ha bloccato per una settimana arricchimento uranio http://goo.gl/jcqdy”
      • Ci sarebbe il misterioso super-virus 'Stuxnet' dietro lo stop al programma iraniano per l'arricchimento dell'uranio [...] a causa del virus l'impianto per l'arricchimento di Natanz, il principale della Repubblica Islamica, è rimasto bloccato dal 16 al 22 novembre. 'Stuxnet', hanno rivelato fonti iraniane e d'intelligence citate da 'Debka', ha creato dei sbalzi di corrente e messo fuori uso le centrifughe per l'arricchimento dell'uranio
  • Cyber War
      Stuxnet sui sistemi NON SCADA
      • Cosa succede se Stuxnet atterra su una macchina Windows di un comune utente? Ne parla Bruce Schneier http://goo.gl/No6S
      • ” Stuxnet doesn’t actually do anything on those infected Windows computers, because they’re not the real target.”
  • Malware Study
      Come procurarsi il malware?
  • Botnet
      ZeuS 75.000 sistemi Windows colpiti.
  • Botnet
      ZeuS a Banking Malware
      • Inizialmente progettato per carpire credenziali di accesso e codici di carte di credito degli utenti Internet Explorer che navigano le pagine di determinati siti bancari
  • Botnet
      ZeuS Toolkit. 700$ al Mercato Nero
      • Un pacchetto corredato di manuale per le istruzioni
      • Di un generatore (builder) e dei file di configurazione per istruire il malware
      • Dei sorgenti php (web panel control) da caricare sul server che fungerà da command and control
  • Botnet
      ZeuS Toolkit
  • Botnet
      ZeuS Toolkit: config.txt
  • Botnet
      ZeuS Toolkit: webinjects.txt
  • Botnet
      ZeuS Toolkit: Panel (C&C)
  • Botnet
      ZeuS: Tracce evidenti in System32
      • Cartella ”lowsec” e file ”sdra64”
  • Botnet
      ZeuS Toolkit. Evolutions
      • Installazione di pacchetti aggiuntivi (in vendita)
      • ZeuS v2
      • Adeguamento a Firefox
      • Codifica dei dati
      • Termina lo sviluppo e cede il codice a SyeEye, il suo rivale. Rumours (?)
  • Botnet
      SpyEye
      • Antagonista di ZeuS
      • Specializzato in trojan horse personalizzati
      • Web inject (ZeuS format)
      • Ring 3
      • Feature: Kill ZeuS
      • Prezzo scontato: 500$ vs 700$ di ZeuS
  • Botnet
      SpyEye Toolkit
  • Botnet
      SpyEye Toolkit. Builder in Action
  • Botnet
      SpyEye Command and Control
  • Botnet
      SpyEye: Evidenze sul disco
      • c:cleansweep.execleansweep.exe
      • c:cleansweep.execonfig.bin
      • %TempFolder%upd1.tmp
      • HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
      • cleansweep.exe = "C:cleansweep.execleansweep.exe"
  • Web Inject
      Field inject and grabber
  • Hacker Motivation
      Da cosa sono spinti?
      • Money
      • Cause
      • Entertainment
      • Entrance to social group
      • Ego
      • Status
  • Public Vulns
      XSSed
  • Defacement
      Zone-h
  • Exploits
      Exploit-DB
  • Rss Vulns
      Vulnerabilità in Real Time sul Feed Reader
  • Weapons
      Back|track
      • Comunità di supporto e sviluppo localizzato in italia
  • Perchè studiare il malware?
      Per comprendere le dinamiche comportamentali!
      • Qual è lo scopo del malware?
      • Quali informazioni è riuscito a carpire?
      • Dove sono state trasmesse le informazioni?
      • Come ha fatto ad arrivare fin qui?
  • Quali sono le complicazioni?
      Non siamo di fronte a un comune utente...
      • Abbiamo a che fare con creature progettate da persone altamente competenti
      • Nella maggior parte dei casi il codice è offuscato
      • Largo uso di crittorgrafia (soprattutto durante la trasmissione dei dati)
      • Funzioni di rootkit
      • Vulnerabilità 0-day
  • Dove andare a cercare?
      Nei processi
      • Individuare i processi nascosti
      • Listare i servizi attivi
      • Verificare l'integrità dei processi di sistema attivi
      • Listare le dll caricate e analizzare quelle sospette
  • Process Inspection
      Malware process. Module Dll Analysis
      • Firma del file PE
      • Disassemblaggio del codice
      • Estrazione delle stringhe di testo
      • Live monitoring
  • Malware at Work Registry (RUN) Malware.exe ctfmon.exe lsass.exe svchost.exe http://evilsite.com/filename
  • Malware Analysis Lab
      Virtual Machine
      • VMware Server
      • Windows Virtual PC
      • Microsoft Virtual Server
      • VirtualBox
  • Malware Analysis Lab
      Sistema Operativo e Applicazioni
      • Windows (XP)
      • Internet Explorer 7/8
      • Firefox
      • Chrome
      • Acrobat Reader
      • Flash Player
  • Malware Analysis Lab
      Analysis Tools
      • Sysinternals Suite
        • Process Monitor
        • Process Explorer
        • Process Hacker
      • Explorer Suite
      • Wireshark
      • Regshot
  • Malware Analysis Lab
      Analysis Code
      • OllyDbg
      • Idra Pro Freeware
      • LordPE
      • OllyDump
      • Hex Editor
      • Strings
  • Malware Analysis Lab
      Risorse Online
      • Anubis
      • Wepawet
      • VirusTotal
      • CWSandbox
      • Norman SandBox
      • Malware Database
      • MalwareURL
      • Process Library
  • Malware Analysis
      A Case Study
      • http://www.securityside.it/docs/malware-analysis.pdf