DDoS and Hacktivism (italian)
Upcoming SlideShare
Loading in...5
×
 

DDoS and Hacktivism (italian)

on

  • 548 views

 

Statistics

Views

Total Views
548
Views on SlideShare
544
Embed Views
4

Actions

Likes
0
Downloads
11
Comments
0

2 Embeds 4

https://www.linkedin.com 3
http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

DDoS and Hacktivism (italian) DDoS and Hacktivism (italian) Presentation Transcript

  • Real (D)DoS Attivismo digitale, zombie, botnet e DoS distribuito: un sistema per la rilevazione dei DDoS Roberto Battistoni (rbattistoni@acm.org)Information Security Lessons 2012/2013 (prof. Luigi V. Mancini) – 19/12/2012
  • Agenda!   Introduzione ai DoS e Distributed DoS ! DoS (“negazione del servizio”) !   Distributed DoS !   Gli attori e gli strumenti per il Distributed DoS!   Real DoS: identificare un DDoS ! Dataset reale !   Metriche per il rilevamento !   Sperimentazioni!   Real life: identificare e gestire i DDoS !   punto di vista dell’attaccante !   punto di vista della vittima
  • Introduzione
  • Denial of Service
  • Denial of Service!   Anche detto “negazione del servizio”, attacchi di tipo DoS rendono inservibili determinati “sistemi” (non solo informatici) per un certo periodo!   Il danno è dovuto proprio all’assenza del servizio erogato!   Es: DoS su sistemi biomedicali, o peggio, dispositivi salva- vita impiantabili nel corpo umano (pacemaker)!   Il meno pericoloso? siti web per danno di immagine
  • Denial of Service!   Per i DoS veicolati attraverso pacchetti di rete, il filtering dei pacchetti inviati rende questi attacchi poco efficaci!   SYN flood, UDP flood, etc. sono ben conosciuti e gestibili (o almeno dovrebbero esserlo)…se DoS!   Ma nel DoS l’attaccante è identificabile, o la banda che può occupare è minima (a meno che non lavori in un AS)
  • Distributed DoS Video…
  • Distributed DoS! DoS in cui gli attaccanti sono molteplici, coordinati e con sufficiente banda a disposizione!   Identificare gli attaccanti è più difficile e dispendioso e, alle volte inutile (spoofing dei pacchetti)!   Il problema è negli attacchi che saturano la banda della vittima: la vittima non naviga e possibili effetti domino!   SYN flood, UDP flood, DNS flood, assumono una nuova potenza!   Di solito si usano botnet e indirizzi spoofati (amplificando lo spazio degli attaccanti) o attivismo digitale (twitter C&C)
  • Diventare uno zombie di una botnet
  • Attacco DDoS attraverso botnet
  • Zeus botnet: C&C location
  • DDoS: tipologie di danno!   Danno di immagine: sito web oscurato (whitehouse.gov)!   Danno reale: sistema per transazioni real time (es: Wall Street)!   Danno derivato: effetto domino su sistemi interni!   Danno fisico: sistemi biomedicali e impiantabili
  • Gli attori del DDoS!   Attivisti digitali (hacktivists): persone che protestano per una causa attaccando sistemi informatici!   Hacker: nessuno lo fa più per mettersi in mostra…ma qualcuno pensa ancora che War Games sia l’attualità (illusi!)!   Cracker: organizzazioni criminali che hanno come scopo quello di danneggiare e ricavare profitto da queste attività (diversivi per attacchi più selettivi)! Cyberwar: attacchi a infrastrutture critiche per scopi militari sono una realtà (stuxnet)!   Terroristi: attacchi a infrastrutture critiche che danneggiano la collettività
  • Gli strumenti del DDoS! Botnet acquistate su Internet e geolocalizzate world-wide: !   difficoltà di intraprendere azioni legali per le diverse legislazioni dei paesi coinvolti !   Potenza di fuoco e di azione praticamente infinita!   Strumenti “open”: LOIC e sue derivazioni, ossia “come la casalinga di bordighera può diventare attivista digitale”: !   la scarsa conoscenza dello strumento rende l’attaccante identificabile dalle forze dell’ordine !   Richiede un numero davvero molto elevato di “attivisti” !   Manuale di comportamento dell’attivista: anonimizzazione, tcp/ip crash course, …!   Strumenti “home-made” per attacchi più raffinati come malware o altro (scoiattolo nella centrale elettrica!)
  • Zeus botnet: e-commerce! Video…
  • Zeus botnet: admin panel
  • LOIC: Low Orbit Ion Cannon Video…
  • DDoS detection with information theory metrics and netflows: a real case D. Vitali, A. Villani, A. Spognardi, R. Battistoni1, L.V. Mancini SECRYPT Rome, Tuesday July 24, 2012
  • Rilevare i DDoS!   Come distinguere un evento da un attacco?! Deep packet inspection: !   impraticabile su flussi di dati 10 Gb/s !   Problemi di anonimizzazione!   Studi attuali utilizzano dataset sintetici che spesso sono: !   parecchio datati (1999 DARPA) !   contengono traffico molto diverso rispetto a quello odierno
  • Il nostro contributo!   Identificare delle metriche e degli strumenti che il provider può utilizzare per determinare se un sistema è attaccato e reagire!   Lavoro basato su un Dataset “reale” (ma non anonimizzato, quindi non è disponibile)!   Analizzato il traffico Netflow® CISCO di un AS secondo alcune metriche
  • Autonomous SystemDef (RFC1930): An AS is a connected group of one or more IP prefixes run by one or morenetwork operators which has a SINGLE and CLEARLY DEFINED routing policy Our AS: “it manages thousands of unique IP addresses and that the amount of packets is around 30K every second, the monitored AS can be considered of medium size for an European member state”
  • Analisi dei flussi NetFlow“NetFlow is a Cisco technology used for monitoring IP traffic (Cisco Systems,2004). Despite the classical packet collector (packet dump), NetFlow collects datain Layers 2-4 and determines applications by port numbers, aggregating theinformation”
  • Dataset reale“Very large set (more than 1.5 years) of network flows gathered fromBorder Gateway Protocol router of Commercial and Istitutional ISP2 GBytes of full netflow entries contain 110 millions of flows, 2billions of packets corrisponding to 5 TB of exchanged data”
  • Le metricheDate due variabili aleatorie P e Q, abbiamo le seguenti definizioni:
  • Implementazione delle metriche•  Metriche calcolate sugli IP sorgenti e destinazione•  time slot (e.g. 1 minuto)•  Kullback e Renyi considerano due time slot, mentre l’entropia binaria uno
  • Sperimentazioni!   Abbiamo analizzato 4 eventi !   E1: High volume DoS !   E2: Low volume DoS !   E3: High volume Distributed DoS !   E4: Mantainance jobs!   Per ogni evento abbiamo analizzato il comportamento di ogni metrica!   Gli eventi E1 e E3 sono stati rivendicati dagli attivisti di “Anonymous”!   L’evento E2 è stato rilevato durante l’analisi e confermato a posteriori come attacco
  • E1: High volume DoS
  • E2: Low volume DoS
  • E3: High volume DDoS
  • Conclusioni!   Tutte le metriche sono in grado di rilevare (D)DoS!   Alcune, come l’entropia binaria e la Renyi, sono però troppo variabili nel comportamento o gli eventi non sono così distinguibili!   La KL è invece la metrica più “stabile” e sembra quindi essere la più adatta ad isolare attacchi di questo tipo!   Il problema della soglia è un problema aperto, ma ci sono buoni presupposti (prossimi lavori)
  • Real Life!
  • DDoS: l’attaccante!   Comprare una botnet, gestirla dall’Italia ed essere irrintracciabile: motivazioni politiche, criminali…altro (infrastrutture critiche)!   Veicolare varianti infinite di DDoS per attacchi generalisti: SYN flood, UDP flood, DNS amplification, low freq attacks!   Utilizzare botnet per attacchi mirati: identificazione sistemi inefficienti; utilizzo botnet per attacchi a livello “application” ISO/OSI!   Attivismo digitale “consapevole”: attività illegali…comunque
  • DDoS: la vittima!   Gestire…NON ignorare: DDoS difficile da contrastare ma questo non vuol dire ignorarlo o peggio affermare “così fan tutti!”!   Danno di immagine che mette in difficoltà dipartimenti ICT di aziende e PA: continuità del servizio è la prima cosa per ICT!!   Necessario coinvolgere fornitori di banda per arginare (non eliminare) il problema!   Effetto domino: il DDoS può indurre side-effect su sistemi interni (navigazione, …); difficile da far comprendere ai decision maker!   Attenzione ai diversivi, quello che non si sente o non si vede non è detto che non esista ;)!   Utilizzare “RealDoS”…
  • Riferimenti!   2004 - Mirkovic, J. and Reiher, P. (2004). A taxonomy of DDOS, attack and DDOS defense mechanisms. SIGCOMM, Comput. Commun. Rev., 34:39–53.!   2008 - Daniel Halperin - University of Washington “Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses”!   2012 - D. Vitali, A. Villani, A. Spognardi, R. Battistoni, L. V. Mancini, DDoS detection with information theory metrics and netflows: a real case, International Conference on Security and Cryptography, SeCrypt 2012, Roma, Italy
  • Grazie!