Your SlideShare is downloading. ×
Reati Informatici e Investigazioni Digitali
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Reati Informatici e Investigazioni Digitali

2,018
views

Published on

Seminario del 27/10/2010 Padova

Seminario del 27/10/2010 Padova

Published in: Education, Technology, Business

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,018
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
70
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Reati Informatici e Investigazioni  digitali Gianni 'guelfoweb' Amato Seminario ­ Piove di Sacco (PD) ­ 27/11/2010
  • 2.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Black Market Symantec Intelligence Quarterly Report di aprile –  giugno 2010  Un volume di affari di 210 milioni di euro
  • 3.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Black Market Quanto costano gli incidenti informatici?  Il valore delle informazioni digitali rubate nel 2009 è stato di 1  trilione di dollari  il costo medio sostenuto da un'organizzazione compromessa è  all'incirca di 5 milioni di Euro   23 milioni di Euro è il costo massimo ad oggi sostenuto da una  azienda colpita da un attacco informatico. 
  • 4.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Black Market Target: furto di dati sensibili  Numeri di carte di credito  Numeri di conto corrente  Identità digitale (147 euro è il costo medio per identità  compromessa sostenuta in azienda)
  • 5.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Black Market Il malware dal 2008 ad oggi  Una crescita del 71%  Il 78% del malware ha funzionalità di esportazione dati
  • 6.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Black Market Acquisti al mercato nero  1000 carte di credito a 1500$  1 identità digitale 3$­20$  Indirizzi email. Attività lecita (?)
  • 7.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Black Market Crimeware kit  Sempre più semplice sferrare attacchi  Sottrarre informazioni personali  Costi accessibili  700$ ZeuS Kit. (Gratis per chi sa cercare)
  • 8.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Le Nazioni Unite temono che la guerra combattuta  attraverso la Rete possa presto diventare una  minaccia reale per tutto il mondo  Una cyberwar è peggio di uno tsunami  Un attacco digitale è parificabile a un attacco reale La proposta delle Nazioni Unite è quella di un accordo tale per cui ogni  paese firmatario si impegna a non scagliare per primo un cyberattacco  contro un’altra nazione
  • 9.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War  Target: Infrastrutture Critiche
  • 10.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Stuxnet attacco alle centrali nucleari  Target: Iran e gli esperimenti con l'energia nucleare  Per volere del Mossad israeliano (?)
  • 11.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Stuxnet nel mirino i sistemi SCADA  Soluzioni Siemens per la gestione dei sistemi industriali  Windows + WinCC + PCS 7
  • 12.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Stuxnet. Una password DB vecchia due anni   SCADA System’s Hard­Coded Password Circulated Online for  Years  It’s not known how long the WinCC database password has been  circulating privately among computer intruders, but it was  published online in 2008 at a Siemens technical forum, where a  Siemens moderator appears to have deleted it shortly thereafter.  The same anonymous user, “Cyber,” also posted the password to  a Russian­language Siemens forum at the same time, where it has  remained online for two years.
  • 13.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Stuxnet un malware firmato  Gli autori erano in possesso dei certificati digitali  Realtek e JMicron
  • 14.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Stuxnet un malware firmato  Verisign revoca i certificati il 16 luglio  Il 17 luglio viene rilevata una versione di Stuxnet con i drivers  rubati a JMicron
  • 15.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Stuxnet sfrutta 5 vulnerabilità Windows  Inizialmente la vulnerabilità LNK  Con le analisi successive si è scoperto che il malware sfrutta in  totale ben 5 vulnerabilità
  • 16.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Stuxnet e il misterioso numero 19790509   Il valore numerico trovato nel registro di sistema delle macchine  compromesse è stato interpretato come la possibile data di  nascita di uno degli autori: 09/05/1979  Sophos: http://goo.gl/rHYic
  • 17.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Stuxnet non è ancora finita   E' notizia di questa settimana: ”Iran: Debka, Stuxnet ha bloccato per  una settimana arricchimento uranio http://goo.gl/jcqdy”  Ci sarebbe il misterioso super­virus 'Stuxnet' dietro lo stop al  programma iraniano per l'arricchimento dell'uranio [...] a causa  del virus l'impianto per l'arricchimento di Natanz, il principale  della Repubblica Islamica, è rimasto bloccato dal 16 al 22  novembre. 'Stuxnet', hanno rivelato fonti iraniane e d'intelligence  citate da 'Debka', ha creato dei sbalzi di corrente e messo fuori  uso le centrifughe per l'arricchimento dell'uranio
  • 18.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Cyber War Stuxnet sui sistemi NON SCADA  Cosa succede se Stuxnet atterra su una macchina Windows di un  comune utente? Ne parla Bruce Schneier http://goo.gl/No6S  ”Stuxnet doesn’t actually do anything on those infected Windows  computers, because they’re not the real target.”
  • 19.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Malware Study Come procurarsi il malware?
  • 20.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet ZeuS 75.000 sistemi Windows colpiti.
  • 21.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet ZeuS a Banking Malware  Inizialmente progettato per carpire credenziali di accesso e codici di  carte di credito degli utenti Internet Explorer che navigano le  pagine di determinati siti bancari 
  • 22.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet ZeuS Toolkit. 700$ al Mercato Nero  Un pacchetto corredato di manuale per le istruzioni  Di un generatore (builder) e dei file di configurazione per istruire il  malware  Dei sorgenti php (web panel control) da caricare sul server che  fungerà da command and control
  • 23.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet ZeuS Toolkit
  • 24.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet ZeuS Toolkit: config.txt 
  • 25.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet ZeuS Toolkit: webinjects.txt 
  • 26.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet ZeuS Toolkit: Panel (C&C)
  • 27.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet ZeuS: Tracce evidenti in System32  Cartella ”lowsec” e file ”sdra64”
  • 28.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet ZeuS Toolkit. Evolutions  Installazione di pacchetti aggiuntivi (in vendita)  ZeuS v2  Adeguamento a Firefox  Codifica dei dati  Termina lo sviluppo e cede il codice a SyeEye, il suo rivale.  Rumours (?)
  • 29.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet SpyEye  Antagonista di ZeuS  Specializzato in trojan horse personalizzati  Web inject (ZeuS format)  Ring 3  Feature: Kill ZeuS  Prezzo scontato: 500$ vs 700$ di ZeuS
  • 30.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet SpyEye Toolkit
  • 31.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet SpyEye Toolkit. Builder in Action
  • 32.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet SpyEye Command and Control
  • 33.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Botnet SpyEye: Evidenze sul disco  c:cleansweep.execleansweep.exe  c:cleansweep.execonfig.bin  %TempFolder%upd1.tmp  HKCUSoftwareMicrosoftWindowsCurrentVersionRun:  cleansweep.exe = "C:cleansweep.execleansweep.exe"
  • 34.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Web Inject Field inject and grabber 
  • 35.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Hacker Motivation Da cosa sono spinti?  Money  Cause  Entertainment  Entrance to social group  Ego  Status
  • 36.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Public Vulns XSSed
  • 37.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Defacement Zone­h
  • 38.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Exploits Exploit­DB
  • 39.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Rss Vulns Vulnerabilità in Real Time sul Feed Reader
  • 40.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Weapons Back|track  Comunità di supporto e sviluppo localizzato in italia
  • 41.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Perchè studiare il malware? Per comprendere le dinamiche comportamentali!  Qual è lo scopo del malware?  Quali informazioni è riuscito a carpire?  Dove sono state trasmesse le informazioni?  Come ha fatto ad arrivare fin qui?
  • 42.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Quali sono le complicazioni? Non siamo di fronte a un comune utente...  Abbiamo a che fare con creature progettate da persone altamente  competenti  Nella maggior parte dei casi il codice è offuscato  Largo uso di crittorgrafia (soprattutto durante la trasmissione dei  dati)  Funzioni di rootkit  Vulnerabilità 0­day
  • 43.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Dove andare a cercare? Nei processi  Individuare i processi nascosti  Listare i servizi attivi  Verificare l'integrità dei processi di sistema attivi  Listare le dll caricate e analizzare quelle sospette
  • 44.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Process Inspection Malware process. Module Dll Analysis  Firma del file PE  Disassemblaggio del codice  Estrazione delle stringhe di testo  Live monitoring
  • 45.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Malware at Work Registry (RUN) Malware.exe ctfmon.exe lsass.exesvchost.exe http://evilsite.com/filename
  • 46.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Malware Analysis Lab Virtual Machine  VMware Server  Windows Virtual PC  Microsoft Virtual Server  VirtualBox
  • 47.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Malware Analysis Lab Sistema Operativo e Applicazioni  Windows (XP)  Internet Explorer 7/8  Firefox  Chrome  Acrobat Reader  Flash Player
  • 48.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Malware Analysis Lab Analysis Tools  Sysinternals Suite  Process Monitor  Process Explorer  Process Hacker  Explorer Suite  Wireshark  Regshot
  • 49.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Malware Analysis Lab Analysis Code  OllyDbg  Idra Pro Freeware  LordPE  OllyDump  Hex Editor  Strings
  • 50.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Malware Analysis Lab Risorse Online  Anubis  Wepawet  VirusTotal  CWSandbox  Norman SandBox  Malware Database  MalwareURL  Process Library
  • 51.  Gianni 'guelfoweb' Amato ­ www.securityside.it ­ amato@securityside.it Malware Analysis A Case Study  http://www.securityside.it/docs/malware­analysis.pdf