Smau Milano 2011 Stefano Fratepietro

1,168 views

Published on

BackTrack e DEFT Linux: intelligence, security e response

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,168
On SlideShare
0
From Embeds
0
Number of Embeds
271
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau Milano 2011 Stefano Fratepietro

  1. 1. BackTrack e Deft Linux Intelligence, Security e Response 1 Emanuele Gentili Stefano FratepietroRe d am Te Te a m l ue Blunedì 7 novembre 2011 1
  2. 2. Emanuele Gentili Amministratore unico di Tiger Security S.r.l. Offensive Security Certified Professional Trainer Security Advisor per agenzie governative di intelligence e servizi 2 European Project Leader in BackTrack Linux - Penetration Test OS http://www.emanuelegentili.eu http://www.tigersecurity.it http://www.twitter.com/emgent http://www.backtrack-linux.org http://it.linkedin.com/in/emanuelegentili http://www.exploit-db.com am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 2
  3. 3. Stefano Fratepietro IT security specialist per il CSE (Consorzio Servizi Bancari) DEFT Linux – Computer Forensic live cd project leader 3 Consulente di Computer Forensic per procure, forze dellʼordine e grandi aziende italiane ‣ Buongiorno Vitaminic! ‣ Telecom Italia - Ghioni am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 3
  4. 4. Obbiettivi Workshop ‣ Dimostrare che la guerra digitale esiste e viene praticata giornalmente ‣ Dimostrare che c’e’ la necessità di proteggere le infrastrutture informatiche con personale competente e pro attivo 4 ‣ Dimostrare che la Cina applica politiche aggressive nel cyber spazio ‣ Dimostrare che sono necessarie politiche diRe difesa e raccolta di informazioni d am Te Te a m l ue October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 4
  5. 5. BackTrack Linux Distribuzione GNU/Linux Live installabile per attività di cyber intelligence e di Penetration Test. Nasce nel 2006 come progetto indipendente Oltre 600 tools per svolgere test di sicurezza ed investigazione. Rispetto delle Metodologie STANDARD internazionali PTES, OSSTMM, OWASP, OSINT. Quasi sei milioni di download unici dalle nostre infrastrutture ( 5,997,811 - 18 Ottobre 2011) 5 Oggi è sviluppata e gestita da due società del settore ( Offensive Security e Tiger Security ) Utilizzata da agenzie di intelligence e reparti governativi della difesa. www.backtrack-linux.org am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 5
  6. 6. Obbiettivi del progetto ‣ Mettere a disposizione un sistema operativo completo e funzionale, pronto all’uso, per attività di Cyber Intelligence ed Intrusione Informatica 6 ‣ Offrire formazione certificata unica nel suo genere am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 6
  7. 7. Feedback Pubblici Cyber Defense Exercise “ Se avessi avuto Back|Track Linux qualche anno fa, mi avrebbe fatto risparmiare molto tempo.” Kevin D. Mitnick “ Back|Track è la via più veloce per andare dal boot del sistema locale all’ accesso root del sistema che vuoi attaccare ” 7 H.D. Moore “ Back|Track è l’ arma utilizzata dai ninja hacker. ” Johnny Long www.nsa.gov am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 7
  8. 8. Un po di numeri... ‣ Core Team composto da 10 persone, appartenenti a società specializzate ‣ oltre 200 contributori stimati in tutto il mondo ‣ 5 gruppi di supporto localizzati 8 ‣ Quasi sei milioni di download (Release 5 R1) ‣ Utilizzata in pianta stabile da almeno 7 equipe specializzate all’interno di agenzie governative e militari am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 8
  9. 9. Principali Caratteristiche ‣ Inizialmente basata su Slax poi su Ubuntu, da oltre una release e’ completamente gestita ed ottimizzata solo ed esclusivamente dal core team 9 ‣ Utilizza un sistema di pacchettizzazione proprio ingegnerizzato appositamente, mantenendo la compatibilità al formato .deb ‣ Include software proprietario di alto livello grazie a partnership con le più importanti am aziende al mondo (a costo zero per l’utente) Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 9
  10. 10. Architettura 10 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 10
  11. 11. Documentazione Pubblica ‣ Disponibile nelle lingue: inglese, italiano, spagnolo, portoghese, tedesco e francese. ‣ Documentazione mirata al framework di 11 attacco Metasploit rilasciata pubblicamente chiedendo donazioni in sostegno al progetto Hacker For Charity. am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 11
  12. 12. D E FT Acronimo di Digital Evidence & Forensic Toolkit Nato nel 2005 in collaborazione con la cattedra del corso di Informatica Forense dell’Università 12 degli studi di Bologna Dal 2007 diventa un progetto indipendente am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 12
  13. 13. Obiettivi del progetto • Fornire una serie di soluzioni multi piattaforma per la risoluzione di problematiche di Computer Forensic e Incident Response 13 • Non si pone come concorrente ai tool enterprise come Encase, FTK e Xway Forensic • Documentazione am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 13
  14. 14. Un po di numeri... • Team composto da 6 persone, tutte italiane, di cui 3 in forza presso la GdF e la Polizia Postale 14 • 6 anni di esperienza maturata sul campo • Più di 195.000 download solo nel 2010 • 1300 utenti facebook • 650 utenti attivi nel forum Te am l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 14
  15. 15. DEFT come Forensic bag Sistema Linux live che mantiene inalterato il contenuto delle memorie di massa del sistema ospitante 15 + software computer forensics per Linux Interfaccia grafica veloce + ed intuitiva per sistemi Windows ideale per l’esecuzione di attività di + pre analisi software computer forensics per Windows am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 15
  16. 16. Principali caratteristiche • Basato sul progetto Lubuntu • 2.6.35 - usb 3 ready • Sleuthkit 3.2 + Libewf 16 • Supporto per i Logic Volume Manager (LVM) • Digital Forensic Framework • Xplico 0.6 am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 16
  17. 17. Documentazione • Attualmente disponibile in lingua inglese ed italiana • Entro la fine del 2012 anche in Spagnolo, Portoghese e Cinese 17 • Una serie di how-to per eseguire le principali attività informatico forensi • Man page di tutti gli applicativi am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 17
  18. 18. Le fasi dello sviluppo Piattaforma Sistema Linux di di sviluppo partenza Windows Raccolta Raccolta degli applicativi degli applicativi Si 18 Sviluppo Sviluppo GUI e applicativi e Bug? bugfix bugfix No Test dei beta Test dei beta tester tester am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 18
  19. 19. Cyber Intelligence ‣ Raccolta informazioni tramite fonti aperte ‣ Raccolta informazioni tramite fonti privilegiate ‣ Azioni di ingegneria sociale ed intercettazione per raccolta informazioni extra (email, social 19 network, telefono) ‣ Correlazione delle informazioni per individuare possibili punti deboli per l’ accesso informatico non autorizzato am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 19
  20. 20. Cyber Intelligence Risultato di una possibile raccolta informazioni 20 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 20
  21. 21. Intrusione Informatica Tentativo di accesso ai sistemi informatici del target ‣ Verifica di vulnerabilità applicative su sistemi remoti pubblici o privati (Server, Reti Wifi, ecc.) ‣ Verifica di vulnerabilità applicative o password deboli su account privati (email, social network) 21 ‣ Verifica di vulnerabilità su client del target (smartphone, laptop, sistemi casalinghi) ‣ Ricerca mirata o acquisto di “exploit” per sfruttare vulnerabilità su applicazioni utilizzate dal target ‣ Intrusione Te am edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 21
  22. 22. Intrusione Informatica Tentativo di accesso ai sistemi informatici del target 22 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 22
  23. 23. Intrusione Informatica Tentativo di accesso ai sistemi informatici del target 23 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 23
  24. 24. Intrusione Informatica Tentativo di accesso ai sistemi informatici del target G IN CK A D H N L A 24 O H O Y H B SC IT O LD DO am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 24
  25. 25. Intrusione Informatica Tentativo di accesso ai sistemi informatici del target 25 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 25
  26. 26. Intrusione Informatica Tentativo di accesso ai sistemi informatici del target 26 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 26
  27. 27. Mantenimento Accesso Installazione di backdoor nella macchina compromessa 27 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 27
  28. 28. Forensic duplicator fai da te... Tableau TD1 Acer Aspire Revo 28 1200€ 250€ am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 28
  29. 29. Forensic duplicator fai da te... • Dhash - GUI e testuale, solo raw, calcolo multi hash • Guymager - solo GUI, raw, encase e afflib, 29 calcolo multi hash • Dcfldd, dc3dd - solo testuale, solo raw, calcolo multi hash • Dd rescue - solo testuale, solo raw Te am l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 29
  30. 30. IR pronto all’uso • DEFT Extra • Binari dei principali sistemi operativi Windows, Linux e OS X 30 • Nigilant32 - Winaudit • Process eXPlorer - Rootkit Revealer • Process Activity View - CurrProcess • Ultra search Te am l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 30
  31. 31. Sistema compromesso Cosa fare? Non se ne accorge Formatta/Ripristina Esegue una analisi 10% 31 30% 60% am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 31
  32. 32. Reazione ad un incidente informatico 32 am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 32
  33. 33. Remotizzazione dei log Log management 33 Web server Data base Firewall Windows Server 2008 Client am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 33
  34. 34. L’importanza dei log di sistema remotizzati • In caso di cancellazione o alterazione dei log di sistema, si preserva una copia su un server remoto 34 • Confronto dei log remoti con quelli locali di ogni singolo sistema am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 34
  35. 35. IR check list Sistema in funzione • Analisi dei log degli apparati di rete • Dump di traffico per l’individuazione di attività malevoli in corso 35 • Individuazione dei sistemi coinvolti • Utilizzo di tool su memoria esterna • Memoria esterna di sola lettura • Creazione di una time line degli eventi • Controllo degli hash dei file di sistema l ue Te amOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 35
  36. 36. IR check list Sistema spento • Analisi dei log degli apparati di rete • Dump di traffico per l’individuazione di attività malevoli in corso 36 • Individuazione dei sistemi coinvolti • Spegnere il sistema ed acquisirlo • Analisi della memoria di massa in laboratorio • Creazione di una time line degli eventi • Controllo degli hash dei file di sistema Te am l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 36
  37. 37. Controllo degli hash dei file di interesse Calcoliamo l’hash del file sperando di trovare qualcuno che abbia la stessa release e verificare? 37 NO! The National Software Reference Library (NSRL) http://www.nsrl.nist.gov am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 37
  38. 38. Sophos anti rootkit 38 am Te http://www.sophos.com/it-it/products/free-tools/sophos-anti-rootkit.aspx ue lOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 38
  39. 39. Cyber Warfare Ogni governo ha le proprie equipe specializzate 39 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 39
  40. 40. Cyber Warfare L’organizzazione cyber militare cinese 40 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 40
  41. 41. Cyber Warfare L’organizzazione cyber militare cinese 41 gno 2011 2 giu Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici americani. Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe” am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 41
  42. 42. Cyber Warfare L’organizzazione cyber militare cinese 42 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 42
  43. 43. Cyber Warfare L’organizzazione cyber militare cinese 43 23 Agosto 2011 am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 43
  44. 44. Formazione militare Information Warfare 44 Joint special operation university https://jsou.socom.mil/Pages/Default.aspx https://jsou.socom.mil/Pages/2009JSOUPublications.aspx am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 44
  45. 45. Computer Forensic Il caso Bin Laden 45 am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 45
  46. 46. Security e CF applicate al genio militare Architetture Intel e Sparc 46 Utilizzo anche di tecnologie sperimentali am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 46
  47. 47. Formazione CertificataCyber Intelligence Tiger OSINT AnalystSicurezza Offensiva Offensive Security Certified ProfessionalResponse e Forensics Tiger Analyst Investigator 47 www.tigersecurity.itRe d am Te Te a m l ue October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 47
  48. 48. Conclusioni Red Team ‣ Tutti i sistemi sono Vulnerabili ‣ A problematiche “Umane” non esiste cura (ingegneria sociale) ‣ Un colosso con soldi in prima battuta può ottenere dalla rete tutto ciò che desidera am Te edOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Rlunedì 7 novembre 2011 48
  49. 49. Conclusioni Blue Team • Creazione di un piano di azione di IR che preveda le azioni da intraprendere in caso di incidente • Personalizzazione dei toolkit in base alla propria infrastruttura • Cristalizzazione delle evidence raccolte mediante le pratiche migliori della Computer Forensic • Personale dedicato per l’attività, anche in outsourcing am Te l ueOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 49
  50. 50. Domande? 50October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietrolunedì 7 novembre 2011 50
  51. 51. Grazie per lʼattenzione. Emanuele Gentili Stefano Fratepietro 51 e.gentili @ tigersecurity.it stefano @ periziainformatica.eu www.tigersecurity.it www.deftlinux.net www.backtrack-linux.org steve.deftlinux.netRe d am Te Te a m l ue October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro Blunedì 7 novembre 2011 51

×