SlideShare a Scribd company logo

Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic

denis frati
denis frati
Technology
1 of 35
Download to read offline
S A NO TOP SECRETS ES EM PR troppi Luoghi comuni Fantasia cinema
ie ld 2 maggio 2011 f ic le s I Navy Seal irrompono nel compound tt n a re di Osama bin Laden ad Abbotabad (Pakistan). L'obiettivo primario viene ucciso nell'azione. b o f I soldati si attardano per circa 40 minuti sul luogo dell'azione recuperando, computer, memory stick e documenti.
ld Ne ie f ic ws le s tt n ?? a re b o 1- E' la prima volta che i militari dedicano attenzione ai media digitali ? Alle “evidence” in f generale ? 2- Qual'è l'utilizzo che verrà fatto delle informazioni ? 3- Quali sono le procedure ed i protocolli adottati per raccogliere le “evidence” ?
ie ld Nasce la Battlefiled Forensic, volta a f ic le s stabilire i fatti verificatisi sul campo di tt n battaglia. chi, cosa, dove, quando, perchè a re b o (five W: Who, what, where, when, why) f È necessaria ? Fornisce elementi di informazione all'intelligence operativa - influenzando lo svolgimento delle operazioni sul campo; - consentendo azioni di contrasto; Consente di motivare azioni e reazioni (rispetto ROE, CAVEAT) Permette di indagare gli autori di crimini contro l'umanità.
ie ld f ic le s tt n a re b o f
ld Digital evidence ? ie ....where? f ic le s tt n a re Le forze sul terreno hanno la necessità di b o comunicare, con continuità, con le strutture di comando e tra loro: f - - - ordini; report; richieste logistiche; - richieste di intervento (assetti specialistici, counter ED, 3a dimensione, genio, ecc...); Senza scordare che forze irregolari potrebbero avere un addestramento incompleto ed esser prive del concetto di riserbo e riservatezza, causando una perdita informativa (abbandono foto, documenti, memorie di massa, filmati per documentare/rivendicare azioni terroristiche), o utilizzino impropriamente social network, posta elettronica, cellulari, radio non criptate, ecc..
ie ld Nell'era digitale, l'analisi dei media digitali f ic le s usati, dei dati in essi contenuti, consente di ricostruire: tt n a re - eventi; - contatti; b o - collegamenti; f - vie di approvvigionamento (soldi, equipaggiamenti, uomini, ecc..) ricostruendo il network criminale
ld Acquisizione evidence digitali ie f ic le s Quali Limiti ? tt n a re Dovuti a specificità b o - dell'ambiente in cui si opera f (naturale, condi meteo, stagione presenza/contatto con il nemico); - dei task da svolgere; - della tipologia di movimento e dei mezzi di movimento ; - dell'equipaggiamento;
ie ld Esempio 1 f ic le s Colpo di mano: tt n a re - infiltrazione in territorio ostile via elicottero; b o - bivacco.; - attivazione OP; f - acquisizione OBJ; - azione; - esfiltrazione; Operation Red Wing (http://en.wikipedia.org/ wiki/Operation_Red_Wi ng) “Caduta Libera” di Nicolai Lilin, ed. Einaudi, p. 190 e succ.
ie ld Esempio 2 f ic le s Cordon & Search: tt n a re Sono operazioni svolte con impiego di forze b o diversificate e numerose, con assetti specializzati alle diverse attività (cinturazione, f ricerca e bonifica, sorveglianza, sicurezza, ecc..) Pur non essendo operazioni speciali sono svolte in un ambiente “particolare” e comportano un elevato livello di rischio. es. 2 luglio 1993 Mogadiscio: Operazione Canguro 11 Checkpoint Pasta.
ie ld Procedure operative f ic le s L'esigenza di codificare tt n a re le procedure operative e di intervento nell'ambito della b o ricerca di “evidence” digitali è f chiaramente percepita. Le forze armate USA hanno cercato di standardizzare metodiche e procedure. La Joint Special Operations University (JSOU) nel 2009 pubblica: “Information Warfare: Assuring Digital Intelligence Collection” - William G. Perry http://www.globalsecurity.org/military/librar y/report/2009/0907_jsou-paper-09-1.pdf
ie ld QUALI OPERATORI ? f ic le s “STRATEGIC UTILIZATION OF NORWEGIAN tt n SPECIAL OPERATIONS FORCES” by Kjetil Mellingen a re b o f Giugno 2010 - NAVAL POSTGRADUATE SCHOOL MONTEREY, CALIFORNIA http://dodreports.com/pdf/ada5 24701.pdf
ie ld Quindi ? f ic le s Esigenze: Esperienze operative: tt n a re Intelligence, investigative, legali Quando, come, b o dove sono state reperite evidence f digitali ? Tipologia Problematiche tecniche: di missione ? in loco/azione Problematiche operative ? nell'analisi successiva Evitabili a fronte di Procedure, operazioni differenti metodiche, standard operativi, best practices
r e e wha t's ? b r y fa Spionaggio C r W a Computer Network Cyber attacks operation GuErra di informazione Cyber crime Infrastrutture critiche Electronic warfare terrorismo Advanced persistent threat
r e e Target ! b r y fa C r Società globalizzata: industria, W a comunicazioni, ricerca, servizi sociali, finanziari, strutture commercio, enti governativi, sanitarie, infrastrutture energetiche on the net Le FFAA, FFPP, gli assetti d'intelligence, devono acquisire e mantenere la superiorità, supremazia ed iniziativa d'azione in rete ai fini di tutelare gli interessi e la sicurezza della nazione. Conservare la libertà di movimento, azione in rete, la gestione dei servizi essenziali (infrastrutture critiche), proteggendo interessi nazionali in rete.
r UN NUOVO DOMINIO e e b r y fa Una nuov dimensione a C r Dopo terra, aria, mare e spazio... W a..... il cyberspazio di manovra per di polizia e per una nuova area le forze armate, gli assetti dell' intelligence. Non è guerra elettronica (EW): - differente il mezzo da colpire: - differenti gli strumenti; non è guerra di informazione (pg.2 Air Force Doctrine Document 3-12, 15 July 2010): - consente (come tutti gli altri domini) di fornire informazioni - può essere parte dell' Information Warfare, come delle PSYOPS
r Quali possibilita' ? e e b r y fa C r Computer Network Operation (CNO) - attack: distruzione delle strutture di rete avversarie; W a - defence: proteggere, monitorare, analizzare la propria rete per riconoscere, individuare, rispondere ad attacchi, intrusione, ecc...; - exploitation: accesso a dati avversari attraverso la violazione di reti/sistemi avversari; Prendere parte alle operazioni di guerra psicologica (PSYOPS) agendo sulle informazioni fornite agli utenti della rete, pilotandone opinioni, emozioni, orientamenti.
r e e in definitiva b r y fa C r W a “Dio creò gli uomini diversi. Il signor Colt li rese uguali.” Possiamo dire che il Cyberspace è un sistema d'arma (operatore + Strumento) che consente di perseguire OBJ altamente remunerativi a costi inesistenti, essendo il mezzo (la rete) accessibile a chiunque, ovunque, in tempo reale, permettendo a qualunque nazione, movimento, individuo, uno sproporzionato incremento del fattore efficacia.
r Chi e' l'avversario ? e e b r y fa C r - Lone Hacker; - Script Kids; W a - Antagonisti, movimenti di protesta (Anonymous, LulzSec, .....) - Industrie concorrenti; - Terroristi; - Paesi/blocchi contrapposti; Cybercrime Hacktivismo Spy Ind. Cyberwararfare A spot Protesta APT Strategia lungo breve termine Evento termine silenzioso rivendica silenzioso silenzioso
r e e b r y fa ARE they READY ?? C r W a
r e e b r y fa ARE they READY ?? C r W a
r e e ARE WE READY ?? b r y fa C r (AGENPARL) - Roma, 22 giu - 'Cybercooperation, cyberwarfare and cybersecurity on the eve of 21st Century' è il W a titolo della conferenza, organizzata dal Centro Studi Sviluppo Relazioni per la sicurezza Tts presso Sala Capitolare del Senato della Repubblica..... .... Interverranno: Jart Armin, analista Sigint esperto di cybercrime presso la Fondazione CyberDefCon; Luisa Franchina, direttore della Segreteria per le Infrastrutture critiche, Presidenza del Consiglio dei Ministri; Raoul Chiesa, ethical hacker e esperto di sicurezza informatica. .... ........ "L'Italia - spiega il senatore Esposito - è impreparata mentalmente e strutturalmente ad affrontare gli attacchi informatici alle sue infrastrutture digitali. Occorre al più presto una cabina di regia che coordini, con il livello politico, la difesa informatica presso la Presidenza del Consiglio, ispirata a qualche modello già adottato da altri stati sensibili a questo problema. C'è anche un'altra carenza italiana: manca un centro di raccolta dei dati sugli attacchi. L'Italia non può devolvere la propria sovranità agli Usa o alla Nato".
r e e ARE WE READY ?? b r y fa C r Gabriele Cicognani - Il tassello mancante (19/01/2011) [http://www.matteocavallini.com/2011/01/gabriele-cicognani-il-tassello-mancante.html] W a “Se l’amministrazione della Difesa è stata in grado di adeguare le proprie capacità di difesa cibernetica (ma non di attacco) in adesione alle direttrici disegnate in ambito NATO .....” Gabriele Cicognani, Maggiore della Guardia di Finanza in forza ai Reparti Speciali del Corpo, è in posizione di comando presso DigitPA (già Centro Nazionale per l’Informatica nella Pubblica Amministrazione), dove è responsabile del Computer Emergency Response Team del Sistema Pubblico di Connettività (CERT-SPC).
r A chi lo faccio fare ? e e b r y fa C r W a “STRATEGIC UTILIZATION OF NORWEGIAN SPECIAL OPERATIONS FORCES” by Kjetil Mellingen
r e e b r y fa ESEMPIO 1 C r Stuxnet: colpisce i sistemi Scada iraniani. USA & Israele ?? W a Virus – by Patric Clair http://vimeo.co m/25118844
r e e b r y fa ESEMPIO 2 C r Giugno 2011: W a Poderoso attacco di phishing contro centinaia di utenti Gmail, presi di mira funzionari governativi USA, attivisti cinesi, personale militare e giornalisti. Google identifica l'origine dell'attacco in indirizzi IP cinesi. La Cina glissa. Gli USA non reagiscono. http://krebsonsecurity.com/2011/06/spotting-web-based-email-attacks/ Ma chi è il colpevole? Alcuni paesi minacciano di reagire a cyber attacchi con operazioni militari Be Careful tradizionali. When Marcus Ranum: Dangerous Cyberwar Rhetoric Collecting http://blog.iansresearch.net/2011/08/cyberwar-rhetoric-.html Evidence
r ESEMPIO 3 e e b r y fa C r Operation Cupcake: W a USA e UK pianificano separate operazioni “Cyber Command chief Lt. General Keith Alexander argued the mag was a danger to troops and in need of a takedown” La Cia blocca l'operazione “argued that it would expose sources and methods and disrupt an important source of intelligence” ...che viene compiuta dall'MI6 britannico http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/8553366/MI6-attacks-al-Qaeda-in- Operation-Cupcake.html
r ESEMPIO 4 e e b r y fa LulzSec Vs NATO e-book shop: C r W a
r ESEMPIO 5 e e b r y fa Antisec Vs Booz Allen Hamilton: C r W a BASE64-ENCODED SHA HASH echo -n PASSWORD | openssl dgst -sha1 -binary | openssl enc -base64
r Conclusioni (ipotetiche) e e ESEMPIO 4/5 b r y fa C r Information gathering, profiling, furto di identità, W a invio malware e phishing da mailbox trusted ......... .... e molto, molto altro !
r DALl'uso strategico e e b r y fa ALL'uso T TTICo A C r a o W tr o - Mappare la rete avversaria a tiv te a - Monitorarne le comunicazioni in er - Seguirne i movimenti o p - Fornire info ingannevoli CIRCOSCRIVENDO L'AREA D'AZIONE
r e e b r y fa poisoning C r Attività militari tradizionali: a o W tr o - vigilanza/interdizione; a tiv te a - ricognizione e monitoraggio; in er volte ad isolare la parte avversa (istruisci, informi, coinvolgi, stimoli, migliori le condizioni di vita, o p aggreghi la massa): - PSYOPS (Operazioni Psicologiche); - CIMIC (Cooperazione Civile Militare); - PI (Pubblica informazioni) Offrono le occasioni per immettere “sonde” nel tessuto sociale, veicolandole verso la struttura avversaria.
r Differenza dall'obj e e b r y fa In T.N. C r a o W tr o L'attività investigativa su territorio nazionale richiede “l'acquisizione” di uno specifico obj, da profilarsi per a tiv te a “attagliare” approccio, esca, intrusione. in er In zona di operazioni non è indispensabile “acquisire” l'obj puntiforme, quanto arrivare a contatto con o p l'obiettivo, intendendo con esso la rete, la struttura informatizzata avversaria, i suoi nodi periferici per ricostruirla, mapparla, monitorarla.
Grazie per l'attenzione “All hackers are ethical. But their ethics might not always match yours.”

Recommended

Slide chivari 20130517
Slide chivari 20130517Slide chivari 20130517
Slide chivari 20130517denis frati
 
Gsd iimmagine
Gsd iimmagineGsd iimmagine
Gsd iimmagineimartini
 
Nella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground EconomyNella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground Economymadero
 
I concetti, i metodi e gli strumenti dell'ingegneria forense strutturale.
I concetti, i metodi e gli strumenti dell'ingegneria forense strutturale.I concetti, i metodi e gli strumenti dell'ingegneria forense strutturale.
I concetti, i metodi e gli strumenti dell'ingegneria forense strutturale.Franco Bontempi
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
IT's possible. IT's an opportunity
IT's possible. IT's an opportunityIT's possible. IT's an opportunity
IT's possible. IT's an opportunityPierfranco Ravotto
 
Social Engineering
Social EngineeringSocial Engineering
Social EngineeringMarco Cipriano
 
TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017Gianluca Bertolini
 

Recommended

Slide chivari 20130517
Slide chivari 20130517Slide chivari 20130517
Slide chivari 20130517denis frati
 
Gsd iimmagine
Gsd iimmagineGsd iimmagine
Gsd iimmagineimartini
 
Nella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground EconomyNella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground Economymadero
 
I concetti, i metodi e gli strumenti dell'ingegneria forense strutturale.
I concetti, i metodi e gli strumenti dell'ingegneria forense strutturale.I concetti, i metodi e gli strumenti dell'ingegneria forense strutturale.
I concetti, i metodi e gli strumenti dell'ingegneria forense strutturale.Franco Bontempi
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
IT's possible. IT's an opportunity
IT's possible. IT's an opportunityIT's possible. IT's an opportunity
IT's possible. IT's an opportunityPierfranco Ravotto
 
Social Engineering
Social EngineeringSocial Engineering
Social EngineeringMarco Cipriano
 
TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017Gianluca Bertolini
 
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàdenis frati
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furiousdenis frati
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishingdenis frati
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomenodenis frati
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlodenis frati
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallusdenis frati
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsdenis frati
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cuginidenis frati
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridicidenis frati
 

More Related Content

More from denis frati

Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàdenis frati
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furiousdenis frati
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishingdenis frati
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomenodenis frati
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlodenis frati
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallusdenis frati
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsdenis frati
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cuginidenis frati
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridicidenis frati
 

More from denis frati (11)

Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furious
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishing
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomeno
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlo
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reo
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensics
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cugini
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
 

Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic

  • 1.
  • 2. S A NO TOP SECRETS ES EM PR troppi Luoghi comuni Fantasia cinema
  • 3. ie ld 2 maggio 2011 f ic le s I Navy Seal irrompono nel compound tt n a re di Osama bin Laden ad Abbotabad (Pakistan). L'obiettivo primario viene ucciso nell'azione. b o f I soldati si attardano per circa 40 minuti sul luogo dell'azione recuperando, computer, memory stick e documenti.
  • 4. ld Ne ie f ic ws le s tt n ?? a re b o 1- E' la prima volta che i militari dedicano attenzione ai media digitali ? Alle “evidence” in f generale ? 2- Qual'è l'utilizzo che verrà fatto delle informazioni ? 3- Quali sono le procedure ed i protocolli adottati per raccogliere le “evidence” ?
  • 5. ie ld Nasce la Battlefiled Forensic, volta a f ic le s stabilire i fatti verificatisi sul campo di tt n battaglia. chi, cosa, dove, quando, perchè a re b o (five W: Who, what, where, when, why) f È necessaria ? Fornisce elementi di informazione all'intelligence operativa - influenzando lo svolgimento delle operazioni sul campo; - consentendo azioni di contrasto; Consente di motivare azioni e reazioni (rispetto ROE, CAVEAT) Permette di indagare gli autori di crimini contro l'umanità.
  • 6. ie ld f ic le s tt n a re b o f
  • 7. ld Digital evidence ? ie ....where? f ic le s tt n a re Le forze sul terreno hanno la necessità di b o comunicare, con continuità, con le strutture di comando e tra loro: f - - - ordini; report; richieste logistiche; - richieste di intervento (assetti specialistici, counter ED, 3a dimensione, genio, ecc...); Senza scordare che forze irregolari potrebbero avere un addestramento incompleto ed esser prive del concetto di riserbo e riservatezza, causando una perdita informativa (abbandono foto, documenti, memorie di massa, filmati per documentare/rivendicare azioni terroristiche), o utilizzino impropriamente social network, posta elettronica, cellulari, radio non criptate, ecc..
  • 8. ie ld Nell'era digitale, l'analisi dei media digitali f ic le s usati, dei dati in essi contenuti, consente di ricostruire: tt n a re - eventi; - contatti; b o - collegamenti; f - vie di approvvigionamento (soldi, equipaggiamenti, uomini, ecc..) ricostruendo il network criminale
  • 9. ld Acquisizione evidence digitali ie f ic le s Quali Limiti ? tt n a re Dovuti a specificità b o - dell'ambiente in cui si opera f (naturale, condi meteo, stagione presenza/contatto con il nemico); - dei task da svolgere; - della tipologia di movimento e dei mezzi di movimento ; - dell'equipaggiamento;
  • 10. ie ld Esempio 1 f ic le s Colpo di mano: tt n a re - infiltrazione in territorio ostile via elicottero; b o - bivacco.; - attivazione OP; f - acquisizione OBJ; - azione; - esfiltrazione; Operation Red Wing (http://en.wikipedia.org/ wiki/Operation_Red_Wi ng) “Caduta Libera” di Nicolai Lilin, ed. Einaudi, p. 190 e succ.
  • 11. ie ld Esempio 2 f ic le s Cordon & Search: tt n a re Sono operazioni svolte con impiego di forze b o diversificate e numerose, con assetti specializzati alle diverse attività (cinturazione, f ricerca e bonifica, sorveglianza, sicurezza, ecc..) Pur non essendo operazioni speciali sono svolte in un ambiente “particolare” e comportano un elevato livello di rischio. es. 2 luglio 1993 Mogadiscio: Operazione Canguro 11 Checkpoint Pasta.
  • 12. ie ld Procedure operative f ic le s L'esigenza di codificare tt n a re le procedure operative e di intervento nell'ambito della b o ricerca di “evidence” digitali è f chiaramente percepita. Le forze armate USA hanno cercato di standardizzare metodiche e procedure. La Joint Special Operations University (JSOU) nel 2009 pubblica: “Information Warfare: Assuring Digital Intelligence Collection” - William G. Perry http://www.globalsecurity.org/military/librar y/report/2009/0907_jsou-paper-09-1.pdf
  • 13. ie ld QUALI OPERATORI ? f ic le s “STRATEGIC UTILIZATION OF NORWEGIAN tt n SPECIAL OPERATIONS FORCES” by Kjetil Mellingen a re b o f Giugno 2010 - NAVAL POSTGRADUATE SCHOOL MONTEREY, CALIFORNIA http://dodreports.com/pdf/ada5 24701.pdf
  • 14. ie ld Quindi ? f ic le s Esigenze: Esperienze operative: tt n a re Intelligence, investigative, legali Quando, come, b o dove sono state reperite evidence f digitali ? Tipologia Problematiche tecniche: di missione ? in loco/azione Problematiche operative ? nell'analisi successiva Evitabili a fronte di Procedure, operazioni differenti metodiche, standard operativi, best practices
  • 15. r e e wha t's ? b r y fa Spionaggio C r W a Computer Network Cyber attacks operation GuErra di informazione Cyber crime Infrastrutture critiche Electronic warfare terrorismo Advanced persistent threat
  • 16. r e e Target ! b r y fa C r Società globalizzata: industria, W a comunicazioni, ricerca, servizi sociali, finanziari, strutture commercio, enti governativi, sanitarie, infrastrutture energetiche on the net Le FFAA, FFPP, gli assetti d'intelligence, devono acquisire e mantenere la superiorità, supremazia ed iniziativa d'azione in rete ai fini di tutelare gli interessi e la sicurezza della nazione. Conservare la libertà di movimento, azione in rete, la gestione dei servizi essenziali (infrastrutture critiche), proteggendo interessi nazionali in rete.
  • 17. r UN NUOVO DOMINIO e e b r y fa Una nuov dimensione a C r Dopo terra, aria, mare e spazio... W a..... il cyberspazio di manovra per di polizia e per una nuova area le forze armate, gli assetti dell' intelligence. Non è guerra elettronica (EW): - differente il mezzo da colpire: - differenti gli strumenti; non è guerra di informazione (pg.2 Air Force Doctrine Document 3-12, 15 July 2010): - consente (come tutti gli altri domini) di fornire informazioni - può essere parte dell' Information Warfare, come delle PSYOPS
  • 18. r Quali possibilita' ? e e b r y fa C r Computer Network Operation (CNO) - attack: distruzione delle strutture di rete avversarie; W a - defence: proteggere, monitorare, analizzare la propria rete per riconoscere, individuare, rispondere ad attacchi, intrusione, ecc...; - exploitation: accesso a dati avversari attraverso la violazione di reti/sistemi avversari; Prendere parte alle operazioni di guerra psicologica (PSYOPS) agendo sulle informazioni fornite agli utenti della rete, pilotandone opinioni, emozioni, orientamenti.
  • 19. r e e in definitiva b r y fa C r W a “Dio creò gli uomini diversi. Il signor Colt li rese uguali.” Possiamo dire che il Cyberspace è un sistema d'arma (operatore + Strumento) che consente di perseguire OBJ altamente remunerativi a costi inesistenti, essendo il mezzo (la rete) accessibile a chiunque, ovunque, in tempo reale, permettendo a qualunque nazione, movimento, individuo, uno sproporzionato incremento del fattore efficacia.
  • 20. r Chi e' l'avversario ? e e b r y fa C r - Lone Hacker; - Script Kids; W a - Antagonisti, movimenti di protesta (Anonymous, LulzSec, .....) - Industrie concorrenti; - Terroristi; - Paesi/blocchi contrapposti; Cybercrime Hacktivismo Spy Ind. Cyberwararfare A spot Protesta APT Strategia lungo breve termine Evento termine silenzioso rivendica silenzioso silenzioso
  • 21. r e e b r y fa ARE they READY ?? C r W a
  • 22. r e e b r y fa ARE they READY ?? C r W a
  • 23. r e e ARE WE READY ?? b r y fa C r (AGENPARL) - Roma, 22 giu - 'Cybercooperation, cyberwarfare and cybersecurity on the eve of 21st Century' è il W a titolo della conferenza, organizzata dal Centro Studi Sviluppo Relazioni per la sicurezza Tts presso Sala Capitolare del Senato della Repubblica..... .... Interverranno: Jart Armin, analista Sigint esperto di cybercrime presso la Fondazione CyberDefCon; Luisa Franchina, direttore della Segreteria per le Infrastrutture critiche, Presidenza del Consiglio dei Ministri; Raoul Chiesa, ethical hacker e esperto di sicurezza informatica. .... ........ "L'Italia - spiega il senatore Esposito - è impreparata mentalmente e strutturalmente ad affrontare gli attacchi informatici alle sue infrastrutture digitali. Occorre al più presto una cabina di regia che coordini, con il livello politico, la difesa informatica presso la Presidenza del Consiglio, ispirata a qualche modello già adottato da altri stati sensibili a questo problema. C'è anche un'altra carenza italiana: manca un centro di raccolta dei dati sugli attacchi. L'Italia non può devolvere la propria sovranità agli Usa o alla Nato".
  • 24. r e e ARE WE READY ?? b r y fa C r Gabriele Cicognani - Il tassello mancante (19/01/2011) [http://www.matteocavallini.com/2011/01/gabriele-cicognani-il-tassello-mancante.html] W a “Se l’amministrazione della Difesa è stata in grado di adeguare le proprie capacità di difesa cibernetica (ma non di attacco) in adesione alle direttrici disegnate in ambito NATO .....” Gabriele Cicognani, Maggiore della Guardia di Finanza in forza ai Reparti Speciali del Corpo, è in posizione di comando presso DigitPA (già Centro Nazionale per l’Informatica nella Pubblica Amministrazione), dove è responsabile del Computer Emergency Response Team del Sistema Pubblico di Connettività (CERT-SPC).
  • 25. r A chi lo faccio fare ? e e b r y fa C r W a “STRATEGIC UTILIZATION OF NORWEGIAN SPECIAL OPERATIONS FORCES” by Kjetil Mellingen
  • 26. r e e b r y fa ESEMPIO 1 C r Stuxnet: colpisce i sistemi Scada iraniani. USA & Israele ?? W a Virus – by Patric Clair http://vimeo.co m/25118844
  • 27. r e e b r y fa ESEMPIO 2 C r Giugno 2011: W a Poderoso attacco di phishing contro centinaia di utenti Gmail, presi di mira funzionari governativi USA, attivisti cinesi, personale militare e giornalisti. Google identifica l'origine dell'attacco in indirizzi IP cinesi. La Cina glissa. Gli USA non reagiscono. http://krebsonsecurity.com/2011/06/spotting-web-based-email-attacks/ Ma chi è il colpevole? Alcuni paesi minacciano di reagire a cyber attacchi con operazioni militari Be Careful tradizionali. When Marcus Ranum: Dangerous Cyberwar Rhetoric Collecting http://blog.iansresearch.net/2011/08/cyberwar-rhetoric-.html Evidence
  • 28. r ESEMPIO 3 e e b r y fa C r Operation Cupcake: W a USA e UK pianificano separate operazioni “Cyber Command chief Lt. General Keith Alexander argued the mag was a danger to troops and in need of a takedown” La Cia blocca l'operazione “argued that it would expose sources and methods and disrupt an important source of intelligence” ...che viene compiuta dall'MI6 britannico http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/8553366/MI6-attacks-al-Qaeda-in- Operation-Cupcake.html
  • 29. r ESEMPIO 4 e e b r y fa LulzSec Vs NATO e-book shop: C r W a
  • 30. r ESEMPIO 5 e e b r y fa Antisec Vs Booz Allen Hamilton: C r W a BASE64-ENCODED SHA HASH echo -n PASSWORD | openssl dgst -sha1 -binary | openssl enc -base64
  • 31. r Conclusioni (ipotetiche) e e ESEMPIO 4/5 b r y fa C r Information gathering, profiling, furto di identità, W a invio malware e phishing da mailbox trusted ......... .... e molto, molto altro !
  • 32. r DALl'uso strategico e e b r y fa ALL'uso T TTICo A C r a o W tr o - Mappare la rete avversaria a tiv te a - Monitorarne le comunicazioni in er - Seguirne i movimenti o p - Fornire info ingannevoli CIRCOSCRIVENDO L'AREA D'AZIONE
  • 33. r e e b r y fa poisoning C r Attività militari tradizionali: a o W tr o - vigilanza/interdizione; a tiv te a - ricognizione e monitoraggio; in er volte ad isolare la parte avversa (istruisci, informi, coinvolgi, stimoli, migliori le condizioni di vita, o p aggreghi la massa): - PSYOPS (Operazioni Psicologiche); - CIMIC (Cooperazione Civile Militare); - PI (Pubblica informazioni) Offrono le occasioni per immettere “sonde” nel tessuto sociale, veicolandole verso la struttura avversaria.
  • 34. r Differenza dall'obj e e b r y fa In T.N. C r a o W tr o L'attività investigativa su territorio nazionale richiede “l'acquisizione” di uno specifico obj, da profilarsi per a tiv te a “attagliare” approccio, esca, intrusione. in er In zona di operazioni non è indispensabile “acquisire” l'obj puntiforme, quanto arrivare a contatto con o p l'obiettivo, intendendo con esso la rete, la struttura informatizzata avversaria, i suoi nodi periferici per ricostruirla, mapparla, monitorarla.
  • 35. Grazie per l'attenzione “All hackers are ethical. But their ethics might not always match yours.”