• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Reati Informatici e Investigazioni Digitali

on

  • 2,298 views

Seminario del 27/10/2010 Padova

Seminario del 27/10/2010 Padova

Statistics

Views

Total Views
2,298
Views on SlideShare
1,977
Embed Views
321

Actions

Likes
1
Downloads
62
Comments
0

5 Embeds 321

http://www.gianniamato.it 159
http://www.denisfrati.it 159
http://static.slidesharecdn.com 1
http://www.netvibes.com 1
http://translate.googleusercontent.com 1

Accessibility

Upload Details

Uploaded via as OpenOffice

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Reati Informatici e Investigazioni Digitali Reati Informatici e Investigazioni Digitali Presentation Transcript

    • Reati Informatici e Investigazioni digitali
        Gianni 'guelfoweb' Amato Seminario - Piove di Sacco (PD) - 27/11/2010
    • Black Market
        Symantec Intelligence Quarterly Report di aprile – giugno 2010
        • Un volume di affari di 210 milioni di euro
    • Black Market
        Quanto costano gli incidenti informatici?
        • Il valore delle informazioni digitali rubate nel 2009 è stato di 1 trilione di dollari
        • il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro
        • 23 milioni di Euro è il costo massimo ad oggi sostenuto da una azienda colpita da un attacco informatico.
    • Black Market
        Target: furto di dati sensibili
        • Numeri di carte di credito
        • Numeri di conto corrente
        • Identità digitale (147 euro è il costo medio per identità compromessa sostenuta in azienda)
    • Black Market
        Il malware dal 2008 ad oggi
        • Una crescita del 71%
        • Il 78% del malware ha funzionalità di esportazione dati
    • Black Market
        Acquisti al mercato nero
        • 1000 carte di credito a 1500$
        • 1 identità digitale 3$-20$
        • Indirizzi email. Attività lecita (?)
    • Black Market
        Crimeware kit
        • Sempre più semplice sferrare attacchi
        • Sottrarre informazioni personali
        • Costi accessibili
        • 700$ ZeuS Kit. (Gratis per chi sa cercare)
    • Cyber War
        Le Nazioni Unite temono che la guerra combattuta attraverso la Rete possa presto diventare una minaccia reale per tutto il mondo
        • Una cyberwar è peggio di uno tsunami
        • Un attacco digitale è parificabile a un attacco reale
        La proposta delle Nazioni Unite è quella di un accordo tale per cui ogni paese firmatario si impegna a non scagliare per primo un cyberattacco contro un’altra nazione
    • Cyber War
      • Target: Infrastrutture Critiche
    • Cyber War
        Stuxnet attacco alle centrali nucleari
        • Target: Iran e gli esperimenti con l'energia nucleare
        • Per volere del Mossad israeliano (?)
    • Cyber War
        Stuxnet nel mirino i sistemi SCADA
        • Soluzioni Siemens per la gestione dei sistemi industriali
        • Windows + WinCC + PCS 7
    • Cyber War
        Stuxnet. Una password DB vecchia due anni
        • SCADA System’s Hard-Coded Password Circulated Online for Years
        • It’s not known how long the WinCC database password has been circulating privately among computer intruders, but it was published online in 2008 at a Siemens technical forum, where a Siemens moderator appears to have deleted it shortly thereafter. The same anonymous user, “Cyber,” also posted the password to a Russian-language Siemens forum at the same time, where it has remained online for two years.
    • Cyber War
        Stuxnet un malware firmato
        • Gli autori erano in possesso dei certificati digitali
        • Realtek e JMicron
    • Cyber War
        Stuxnet un malware firmato
        • Verisign revoca i certificati il 16 luglio
        • Il 17 luglio viene rilevata una versione di Stuxnet con i drivers rubati a JMicron
    • Cyber War
        Stuxnet sfrutta 5 vulnerabilità Windows
        • Inizialmente la vulnerabilità LNK
        • Con le analisi successive si è scoperto che il malware sfrutta in totale ben 5 vulnerabilità
    • Cyber War
        Stuxnet e il misterioso numero 19790509
        • Il valore numerico trovato nel registro di sistema delle macchine compromesse è stato interpretato come la possibile data di nascita di uno degli autori: 09/05/1979
        • Sophos: http://goo.gl/rHYic
    • Cyber War
        Stuxnet non è ancora finita
        • E' notizia di questa settimana: ”Iran: Debka, Stuxnet ha bloccato per una settimana arricchimento uranio http://goo.gl/jcqdy”
        • Ci sarebbe il misterioso super-virus 'Stuxnet' dietro lo stop al programma iraniano per l'arricchimento dell'uranio [...] a causa del virus l'impianto per l'arricchimento di Natanz, il principale della Repubblica Islamica, è rimasto bloccato dal 16 al 22 novembre. 'Stuxnet', hanno rivelato fonti iraniane e d'intelligence citate da 'Debka', ha creato dei sbalzi di corrente e messo fuori uso le centrifughe per l'arricchimento dell'uranio
    • Cyber War
        Stuxnet sui sistemi NON SCADA
        • Cosa succede se Stuxnet atterra su una macchina Windows di un comune utente? Ne parla Bruce Schneier http://goo.gl/No6S
        • ” Stuxnet doesn’t actually do anything on those infected Windows computers, because they’re not the real target.”
    • Malware Study
        Come procurarsi il malware?
    • Botnet
        ZeuS 75.000 sistemi Windows colpiti.
    • Botnet
        ZeuS a Banking Malware
        • Inizialmente progettato per carpire credenziali di accesso e codici di carte di credito degli utenti Internet Explorer che navigano le pagine di determinati siti bancari
    • Botnet
        ZeuS Toolkit. 700$ al Mercato Nero
        • Un pacchetto corredato di manuale per le istruzioni
        • Di un generatore (builder) e dei file di configurazione per istruire il malware
        • Dei sorgenti php (web panel control) da caricare sul server che fungerà da command and control
    • Botnet
        ZeuS Toolkit
    • Botnet
        ZeuS Toolkit: config.txt
    • Botnet
        ZeuS Toolkit: webinjects.txt
    • Botnet
        ZeuS Toolkit: Panel (C&C)
    • Botnet
        ZeuS: Tracce evidenti in System32
        • Cartella ”lowsec” e file ”sdra64”
    • Botnet
        ZeuS Toolkit. Evolutions
        • Installazione di pacchetti aggiuntivi (in vendita)
        • ZeuS v2
        • Adeguamento a Firefox
        • Codifica dei dati
        • Termina lo sviluppo e cede il codice a SyeEye, il suo rivale. Rumours (?)
    • Botnet
        SpyEye
        • Antagonista di ZeuS
        • Specializzato in trojan horse personalizzati
        • Web inject (ZeuS format)
        • Ring 3
        • Feature: Kill ZeuS
        • Prezzo scontato: 500$ vs 700$ di ZeuS
    • Botnet
        SpyEye Toolkit
    • Botnet
        SpyEye Toolkit. Builder in Action
    • Botnet
        SpyEye Command and Control
    • Botnet
        SpyEye: Evidenze sul disco
        • c:cleansweep.execleansweep.exe
        • c:cleansweep.execonfig.bin
        • %TempFolder%upd1.tmp
        • HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
        • cleansweep.exe = "C:cleansweep.execleansweep.exe"
    • Web Inject
        Field inject and grabber
    • Hacker Motivation
        Da cosa sono spinti?
        • Money
        • Cause
        • Entertainment
        • Entrance to social group
        • Ego
        • Status
    • Public Vulns
        XSSed
    • Defacement
        Zone-h
    • Exploits
        Exploit-DB
    • Rss Vulns
        Vulnerabilità in Real Time sul Feed Reader
    • Weapons
        Back|track
        • Comunità di supporto e sviluppo localizzato in italia
    • Perchè studiare il malware?
        Per comprendere le dinamiche comportamentali!
        • Qual è lo scopo del malware?
        • Quali informazioni è riuscito a carpire?
        • Dove sono state trasmesse le informazioni?
        • Come ha fatto ad arrivare fin qui?
    • Quali sono le complicazioni?
        Non siamo di fronte a un comune utente...
        • Abbiamo a che fare con creature progettate da persone altamente competenti
        • Nella maggior parte dei casi il codice è offuscato
        • Largo uso di crittorgrafia (soprattutto durante la trasmissione dei dati)
        • Funzioni di rootkit
        • Vulnerabilità 0-day
    • Dove andare a cercare?
        Nei processi
        • Individuare i processi nascosti
        • Listare i servizi attivi
        • Verificare l'integrità dei processi di sistema attivi
        • Listare le dll caricate e analizzare quelle sospette
    • Process Inspection
        Malware process. Module Dll Analysis
        • Firma del file PE
        • Disassemblaggio del codice
        • Estrazione delle stringhe di testo
        • Live monitoring
    • Malware at Work Registry (RUN) Malware.exe ctfmon.exe lsass.exe svchost.exe http://evilsite.com/filename
    • Malware Analysis Lab
        Virtual Machine
        • VMware Server
        • Windows Virtual PC
        • Microsoft Virtual Server
        • VirtualBox
    • Malware Analysis Lab
        Sistema Operativo e Applicazioni
        • Windows (XP)
        • Internet Explorer 7/8
        • Firefox
        • Chrome
        • Acrobat Reader
        • Flash Player
    • Malware Analysis Lab
        Analysis Tools
        • Sysinternals Suite
          • Process Monitor
          • Process Explorer
          • Process Hacker
        • Explorer Suite
        • Wireshark
        • Regshot
    • Malware Analysis Lab
        Analysis Code
        • OllyDbg
        • Idra Pro Freeware
        • LordPE
        • OllyDump
        • Hex Editor
        • Strings
    • Malware Analysis Lab
        Risorse Online
        • Anubis
        • Wepawet
        • VirusTotal
        • CWSandbox
        • Norman SandBox
        • Malware Database
        • MalwareURL
        • Process Library
    • Malware Analysis
        A Case Study
        • http://www.securityside.it/docs/malware-analysis.pdf