Your SlideShare is downloading. ×
  • Like
Matteo Flora: Cyber Warfare e CyberGuerrilla
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Matteo Flora: Cyber Warfare e CyberGuerrilla

  • 746 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
746
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
20
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. STRICTLY CONFIDENTIAL
  • 2. CYBER WARFARE & CYBER-GUERRILLA dal terrorismo digitale alla guerriglia digitalehttp://thefool.it
  • 3. CHI SIAMO The Fool srl è una startup tecnologica nata nel 2008 dall’incontro tra un esperto di sicurezza e da un investor ex-industriale. Ci occupiamo di creazione di soluzioni ad alto valore tecnologico per il Controllo della Rete, della Brand Reputation e per la Tutela della Proprietà Intellettuale con prodotti e software di proprietà. L’intento di The Fool è quello di fornire insight e strategie non convenzionali nella gestione delle crisi e nella definizione di piani di crisi o di online strategic planing.http://thefool.it
  • 4. PERCHE’ STUXNET "a working and fearsome prototype of a cyber- weapon that will lead to the creation of a new arms race in the world." (Kaspersky Labs) “60% of the infected computers worldwide were in Iran, suggesting its industrial plants were the target.” (Kevin Hogan, Senior Director of Security Response at Symantec) “the attacks could only have been conducted "with nation-state support"” ((Kaspersky Labs)http://thefool.it
  • 5. PERCHE’ PAYBACK "is a coordinated, decentralized group of attacks on opponents of internet piracy by internet activists." (Wikipedia) “Operation Avenge Assange … aimed at the Swiss bank PostFinance was very successful, and has kept the site down for some 24 hours” (ComputerWorld) “Unlike botnets in the past (which take advantage of holes in operating systems to install the bot software) this botnet is made up of volunteers.” (Wired)http://thefool.it
  • 6. STUXNET Windows Step7 PLChttp://thefool.it
  • 7. WINDOWS Le modalità di installazione sono le più sofisticate mai rilevate in un worm: • Utilizza 4 zero-day • Si installa tramite USB: Microsoft Windows Shortcut LNK/PIF Files Automatic File Execution Vulnerability (BID 41732) • Si diffonde tramite: Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874) di Conficker • ...e con: Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073) non patchato • ...e con tramite network shares protette con password deboli • ...e con 2 zero-day di Privilege Escalationhttp://thefool.it
  • 8. WINDOWS Le azioni compiute sono estremamente rilevanti: • Installazione di un RootKit • kernel32.dll APIs per cloak • Abbassamento dei livelli di sicurezza • Injecting di contenuti in Internet Explorer per Proxy ByPass • Kill dei processi security-related: • vp.exe, Mcshield.exe, avguard.exe, bdagent.exe, UmxCfg.exe, fsdfwd.exe, rtvscan.exe, ccSvcHst.exe, ekrn.exe, tmpproxy.exehttp://thefool.it
  • 9. WINDOWS Pesantissima attività di rete e di C&C: • Gestione del C&C • Gestione RPC con C&C • Read a file, Write to a file, Delete a file, Create a process, Inject a .dll into lsass.exe, Load an additional .dll, update the configuration data • Gestione dell’invio di dati a domini esterni • www.mypremierfutbol.com • www.todaysfutbol.comhttp://thefool.it
  • 10. STEP 7 Incredibile e mai vista l’attività con Step7: • Intercettazione Siemens WinCC/PCS 7 SCADA • Furti di codice e progetti/design tramite rete • GracScc_tag.sav, GracScc_alg.sav, GracS db_log.sav, GracScc_tlg7.sav, *.S7P, *.MCP, *.LDF • Attacco MITMhttp://thefool.it
  • 11. PLC Quasi Fantscienza l’attività su PLC: • Il primo rootkit persistente PLC • Attacco sistemi Siemens S7-300 e s7-400 • Attacco di sole alcune schede di variable- frequency drives: • Vacon Finlandese e Fararo Paya Iraniana • Si attiva solo a frequenze tra 807Hz e 1210!Hz • Controlla il numero di schede installate e inietta una versione differente a seconda del numero rilevatehttp://thefool.it
  • 12. COSA FA? Ancora Ignoto: • Stuxnet installa malware nel block DB890 • Il sistema controlla il Profibus messaging bu • Modifica la frequenza a 1410!Hz, poi 2!Hz poi 1064!Hz • Altera le velocità dei motori. Oppure la velocità segnalata. • Installa un rootkit che nasconde il codice (0day)http://thefool.it
  • 13. OPERATION PAYBACK Wikileaks != Anonymous Operation Payback LOIChttp://thefool.it
  • 14. WIKILEAKS != ANONYMOUS “In a free society, we are supposed to know the truth. In a society where truth becomes treason, we are in big trouble.” (Ron Paul)http://thefool.it
  • 15. http://thefool.it
  • 16. ANONYMOUS Un sistema di attacco di anarchia organizzata: • Prankster • Mobster • Avenger • ...DDOShttp://thefool.it
  • 17. ANONYMOUS ARTIFACTS Un sistema di attacco di anarchia organizzata: • Aiplex Software & MPAA • DDOS: MPAA e IFIPI (30h) • DDOS: ACS:Law, Davenport Lyons and Dunlap, Grubb & Weaver • DDOS: Australian Federation Against Copyright Theft (AFACT) (e altri 8.000 siti) • Evacuazione ACS:Law • DDOS: Ministry of Sound e Gallant Macmillian (590h) • Copyprotected.com SQL injected • DDOS: UK Intellectual Property Office • ACS:Law leak 350MB (nomi, mail, dati) •DDOS: SimmonsRecords.com e GeneSimmons.com (50h + 120h) • DDOS: riaa.com and riaa.org (240h) • Sarah Palin mail forzatahttp://thefool.it
  • 18. ANONYMOUS ARTIFACTS Operazione Avenge Assange: • DDOS: Amazon.com • DDOS: PayPal.com + API • DDOS: Mastercard.com + API • DDOS: PostFinance.ch • DDOS: Swedish Prosecution Authority • DDOS: sarahpac.com • DDOS:www.conservatives4palin.com Ed in Italia? • DDOS: Poste Italiane • DDOS: Governo.it • DDOS: Mediaset.ithttp://thefool.it
  • 19. ANONYMOUS ANARCHY Un sistema di attacco di anarchia organizzata: • Coordinamento e Arrualomento tramite Boards • Coordinamento tramite IRC • Hive Mind • Voluntary BOTNEThttp://thefool.it
  • 20. WIKILEAKS & ANONYMOUShttp://thefool.it
  • 21. WIKILEAKS & ANONYMOUS Hive Mind Obiettivo Tipologia di Attaccohttp://thefool.it
  • 22. WIKILEAKS & ANONYMOUShttp://thefool.it
  • 23. WIKILEAKS & ANONYMOUShttp://thefool.it
  • 24. WIKILEAKS & ANONYMOUShttp://thefool.it
  • 25. WIKILEAKS & ANONYMOUShttp://thefool.it
  • 26. E QUINDI? I pericoli sono per tutti: persone fisiche, personalità di spicco, PMI, pubbliche amministrazioni, • Ricercare informazioni su sè stessi • Ricercare informazioni su competitor • Ricercare informazioni su minacce • Preventivare e conoscere i rischi • Creare piani di risposta • Cercare soluzioni alternative • GNOSE TE IPSUMhttp://thefool.it
  • 27. LINKOGRAFIA Stuxnet • http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2 • http://www.virusbtn.com/pdf/conference_slides/2010/OMurchu-VB2010.pdf • http://threatpost.com/en_us/blogs/data-shows-iran-no-longer-stuxnet-hotspot-100510 • http://www.wired.com/threatlevel/2010/11/stuxnet-sabotage-centrifuges/ • http://www.humanevents.com/article.php?id=39452 • http://www.schneier.com/blog/archives/2010/10/stuxnet.html • http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99 • http://cyberarms.wordpress.com/2010/10/01/stuxnet-just-another-malware-or-targeted-cyberweapon/ • http://www.bug.hr/vijesti/stuxnet-sabotira-iranace/105078.aspx • http://en.wikipedia.org/wiki/Stuxnet Anonymous • http://4chan.org/b • http://encyclopediadramatica.com/LOIC • http://sourceforge.net/projects/loic/ • http://www.mediafire.com/?9rfblvej3ycd8dt • http://encyclopediadramatica.com/Anonymoushttp://thefool.it
  • 28. NON SOLO CONFERENZE Controllo della Controllo della Proprietà Reputation Watching navigazione aziendale e intellettuale e sistemi di online sul proprio Brand profilazione dell’Utenza TakedDown & Notice www.TheFool.ithttp://thefool.it
  • 29. C.so Magenta, 43 20123 Milano (MI) http://thefool.it mf @ thefool . it +39.02.00618826STRICTLY CONFIDENTIAL