DDoS and Hacktivism (italian)

694 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
694
On SlideShare
0
From Embeds
0
Number of Embeds
60
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

DDoS and Hacktivism (italian)

  1. 1. Real (D)DoS Attivismo digitale, zombie, botnet e DoS distribuito: un sistema per la rilevazione dei DDoS Roberto Battistoni (rbattistoni@acm.org)Information Security Lessons 2012/2013 (prof. Luigi V. Mancini) – 19/12/2012
  2. 2. Agenda!   Introduzione ai DoS e Distributed DoS ! DoS (“negazione del servizio”) !   Distributed DoS !   Gli attori e gli strumenti per il Distributed DoS!   Real DoS: identificare un DDoS ! Dataset reale !   Metriche per il rilevamento !   Sperimentazioni!   Real life: identificare e gestire i DDoS !   punto di vista dell’attaccante !   punto di vista della vittima
  3. 3. Introduzione
  4. 4. Denial of Service
  5. 5. Denial of Service!   Anche detto “negazione del servizio”, attacchi di tipo DoS rendono inservibili determinati “sistemi” (non solo informatici) per un certo periodo!   Il danno è dovuto proprio all’assenza del servizio erogato!   Es: DoS su sistemi biomedicali, o peggio, dispositivi salva- vita impiantabili nel corpo umano (pacemaker)!   Il meno pericoloso? siti web per danno di immagine
  6. 6. Denial of Service!   Per i DoS veicolati attraverso pacchetti di rete, il filtering dei pacchetti inviati rende questi attacchi poco efficaci!   SYN flood, UDP flood, etc. sono ben conosciuti e gestibili (o almeno dovrebbero esserlo)…se DoS!   Ma nel DoS l’attaccante è identificabile, o la banda che può occupare è minima (a meno che non lavori in un AS)
  7. 7. Distributed DoS Video…
  8. 8. Distributed DoS! DoS in cui gli attaccanti sono molteplici, coordinati e con sufficiente banda a disposizione!   Identificare gli attaccanti è più difficile e dispendioso e, alle volte inutile (spoofing dei pacchetti)!   Il problema è negli attacchi che saturano la banda della vittima: la vittima non naviga e possibili effetti domino!   SYN flood, UDP flood, DNS flood, assumono una nuova potenza!   Di solito si usano botnet e indirizzi spoofati (amplificando lo spazio degli attaccanti) o attivismo digitale (twitter C&C)
  9. 9. Diventare uno zombie di una botnet
  10. 10. Attacco DDoS attraverso botnet
  11. 11. Zeus botnet: C&C location
  12. 12. DDoS: tipologie di danno!   Danno di immagine: sito web oscurato (whitehouse.gov)!   Danno reale: sistema per transazioni real time (es: Wall Street)!   Danno derivato: effetto domino su sistemi interni!   Danno fisico: sistemi biomedicali e impiantabili
  13. 13. Gli attori del DDoS!   Attivisti digitali (hacktivists): persone che protestano per una causa attaccando sistemi informatici!   Hacker: nessuno lo fa più per mettersi in mostra…ma qualcuno pensa ancora che War Games sia l’attualità (illusi!)!   Cracker: organizzazioni criminali che hanno come scopo quello di danneggiare e ricavare profitto da queste attività (diversivi per attacchi più selettivi)! Cyberwar: attacchi a infrastrutture critiche per scopi militari sono una realtà (stuxnet)!   Terroristi: attacchi a infrastrutture critiche che danneggiano la collettività
  14. 14. Gli strumenti del DDoS! Botnet acquistate su Internet e geolocalizzate world-wide: !   difficoltà di intraprendere azioni legali per le diverse legislazioni dei paesi coinvolti !   Potenza di fuoco e di azione praticamente infinita!   Strumenti “open”: LOIC e sue derivazioni, ossia “come la casalinga di bordighera può diventare attivista digitale”: !   la scarsa conoscenza dello strumento rende l’attaccante identificabile dalle forze dell’ordine !   Richiede un numero davvero molto elevato di “attivisti” !   Manuale di comportamento dell’attivista: anonimizzazione, tcp/ip crash course, …!   Strumenti “home-made” per attacchi più raffinati come malware o altro (scoiattolo nella centrale elettrica!)
  15. 15. Zeus botnet: e-commerce! Video…
  16. 16. Zeus botnet: admin panel
  17. 17. LOIC: Low Orbit Ion Cannon Video…
  18. 18. DDoS detection with information theory metrics and netflows: a real case D. Vitali, A. Villani, A. Spognardi, R. Battistoni1, L.V. Mancini SECRYPT Rome, Tuesday July 24, 2012
  19. 19. Rilevare i DDoS!   Come distinguere un evento da un attacco?! Deep packet inspection: !   impraticabile su flussi di dati 10 Gb/s !   Problemi di anonimizzazione!   Studi attuali utilizzano dataset sintetici che spesso sono: !   parecchio datati (1999 DARPA) !   contengono traffico molto diverso rispetto a quello odierno
  20. 20. Il nostro contributo!   Identificare delle metriche e degli strumenti che il provider può utilizzare per determinare se un sistema è attaccato e reagire!   Lavoro basato su un Dataset “reale” (ma non anonimizzato, quindi non è disponibile)!   Analizzato il traffico Netflow® CISCO di un AS secondo alcune metriche
  21. 21. Autonomous SystemDef (RFC1930): An AS is a connected group of one or more IP prefixes run by one or morenetwork operators which has a SINGLE and CLEARLY DEFINED routing policy Our AS: “it manages thousands of unique IP addresses and that the amount of packets is around 30K every second, the monitored AS can be considered of medium size for an European member state”
  22. 22. Analisi dei flussi NetFlow“NetFlow is a Cisco technology used for monitoring IP traffic (Cisco Systems,2004). Despite the classical packet collector (packet dump), NetFlow collects datain Layers 2-4 and determines applications by port numbers, aggregating theinformation”
  23. 23. Dataset reale“Very large set (more than 1.5 years) of network flows gathered fromBorder Gateway Protocol router of Commercial and Istitutional ISP2 GBytes of full netflow entries contain 110 millions of flows, 2billions of packets corrisponding to 5 TB of exchanged data”
  24. 24. Le metricheDate due variabili aleatorie P e Q, abbiamo le seguenti definizioni:
  25. 25. Implementazione delle metriche•  Metriche calcolate sugli IP sorgenti e destinazione•  time slot (e.g. 1 minuto)•  Kullback e Renyi considerano due time slot, mentre l’entropia binaria uno
  26. 26. Sperimentazioni!   Abbiamo analizzato 4 eventi !   E1: High volume DoS !   E2: Low volume DoS !   E3: High volume Distributed DoS !   E4: Mantainance jobs!   Per ogni evento abbiamo analizzato il comportamento di ogni metrica!   Gli eventi E1 e E3 sono stati rivendicati dagli attivisti di “Anonymous”!   L’evento E2 è stato rilevato durante l’analisi e confermato a posteriori come attacco
  27. 27. E1: High volume DoS
  28. 28. E2: Low volume DoS
  29. 29. E3: High volume DDoS
  30. 30. Conclusioni!   Tutte le metriche sono in grado di rilevare (D)DoS!   Alcune, come l’entropia binaria e la Renyi, sono però troppo variabili nel comportamento o gli eventi non sono così distinguibili!   La KL è invece la metrica più “stabile” e sembra quindi essere la più adatta ad isolare attacchi di questo tipo!   Il problema della soglia è un problema aperto, ma ci sono buoni presupposti (prossimi lavori)
  31. 31. Real Life!
  32. 32. DDoS: l’attaccante!   Comprare una botnet, gestirla dall’Italia ed essere irrintracciabile: motivazioni politiche, criminali…altro (infrastrutture critiche)!   Veicolare varianti infinite di DDoS per attacchi generalisti: SYN flood, UDP flood, DNS amplification, low freq attacks!   Utilizzare botnet per attacchi mirati: identificazione sistemi inefficienti; utilizzo botnet per attacchi a livello “application” ISO/OSI!   Attivismo digitale “consapevole”: attività illegali…comunque
  33. 33. DDoS: la vittima!   Gestire…NON ignorare: DDoS difficile da contrastare ma questo non vuol dire ignorarlo o peggio affermare “così fan tutti!”!   Danno di immagine che mette in difficoltà dipartimenti ICT di aziende e PA: continuità del servizio è la prima cosa per ICT!!   Necessario coinvolgere fornitori di banda per arginare (non eliminare) il problema!   Effetto domino: il DDoS può indurre side-effect su sistemi interni (navigazione, …); difficile da far comprendere ai decision maker!   Attenzione ai diversivi, quello che non si sente o non si vede non è detto che non esista ;)!   Utilizzare “RealDoS”…
  34. 34. Riferimenti!   2004 - Mirkovic, J. and Reiher, P. (2004). A taxonomy of DDOS, attack and DDOS defense mechanisms. SIGCOMM, Comput. Commun. Rev., 34:39–53.!   2008 - Daniel Halperin - University of Washington “Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses”!   2012 - D. Vitali, A. Villani, A. Spognardi, R. Battistoni, L. V. Mancini, DDoS detection with information theory metrics and netflows: a real case, International Conference on Security and Cryptography, SeCrypt 2012, Roma, Italy
  35. 35. Grazie!

×