Tesi di: Lino Antonio Buono
Relatore: Marco Cremonini
Lavoro dedicato a tecniche avanzate di OSINT con particolare attenzione alle possibili strategie di deaninomizzazione di comunicazioni via TOR.
L’evoluzione dei linguaggi di scripting lato browser: Il caso dart - Luca Ala...
Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di Cyber-Intelligence: dall’underground alle darknet
1. Darknet e Cyber-
Intelligence
Progettazione e realizzazione di un ambiente
di Cyber-Intelligence:
dall’underground alle darknet
Relatore:
Marco CREMONINI
Tesi di laurea di:
Lino Antonio BUONO
2. Problema iniziale
TOR viene sempre più usato dai cyber-criminali
IP sorgente di attività illecite online nei log diviene informazione
inutile
Maggiore senso di sicurezza nei cyber-criminali provoca
maggiori atti di cyber-crime
maggiori relazioni tra cyber-criminali
Ne consegue:
Necessità di nuovi strumenti per effettuare Cyber-Intelligence che
siano efficaci nonostante l’uso di TOR
3. Soluzione
Creazione dell’IntercepTOR, cioè di
un ambiente semi-automatico atto alla deanonimizzazione di utenti
TOR, tramite l’analisi e conseguente intercettazione ed eventuale
trojanizzazione del traffico proveniente dalla darknet TOR.
Componenti fondamentali dell’IntercepTOR:
una VM ospitante un exit-node TOR
una VM per analisi, intercettazione e trojanizzazione del traffico in
uscita dall’exit-node
una VPS connessa tramite VPN Point-to-Point per
proteggere (l’identità del) l’IntercepTOR dai cyber-criminali
ottimizzare la quantità di traffico utile sfruttando la
localizzazione geografica dell’exit-node
4. IntercepTOR
Tecniche di deanonimizzazione
Considerazione
Necessario essere il più stealth possibile, quindi:
applicare ad ogni caso la tecnica meno invasiva che permetta di
raggiungere l’obiettivo
Tecniche di deanonimizzazione ideate, ordinate per grado di invasività:
Passiva: Exit-node monitoring (dumb users)
Parzialmente Attiva: Exit-node monitoring + MiTM & SSLStrip
Attack
Attiva: HTTP Response Trojanizer
5. Deanonimizzazione passiva
Considerazioni:
Traffico in uscita da exit-node è in chiaro
Confusione degli utenti tra concetti di anonimato e sicurezza
Risultato:
Utenti usano servizi autenticati tramite TOR senza utilizzare
cifratura end-to-end (e.g. accesso a webmail usando protocollo
HTTP)
Credenziali di accesso visibili in clear-text all’exit-node owner
Informazioni reperibili dal servizio utilizzato e da eventuale profilo
personale
6. Deanonimizzazione parzialmente
attiva
Scenario: Not-So-Dumb user
Utilizzo HTTPS per servizi autenticati sul web
Credenziali (nonchè token di sessione, ecc..) cifrati
Soluzione:
Attacchi automatici contro HTTPS
SSLStrip Attack (stealth)
MiTM Attack (visibile, utilizzato come piano B)
7. Deanonimizzazione attiva
Scenario: servizi non autenticati
Nessuna speranza che l’utente riveli la sua identità o la sua
localizzazione
Soluzione:
Trojanizzare le risposte HTTP per sfruttare una delle seguenti
tecniche:
Out-of-Band HTTP request
(i.e. GET/POST request via script Flash o Java)
Out-of-Band ICMP request
(i.e. ICMP request via script Java oppure via client-side
exploit)
Full system pownage
(i.e. client-side exploit)
8. IntercepTOR weaponizing
(NSA Surveillance?)
Massimizzare numero di exit-node gestiti
Massimizzare performance del server e banda dei nodi: l’algoritmo di
routing di TOR predilige nodi veloci
(D)DoS degli altri nodi: ridurre le prestazioni degli altri nodi rende
preferibili i nostri
Posizionamento strategico dei nodi: TOR predilige exit-node vicini
geograficamente alle risorse web richieste
Path disruption: se TOR ci sceglie come nodi intermedi, interrompiamo
la connessione
Compromissione di altri nodi
Set-up e trojanizzazione di entry-node: possedendo entry-node ed exit-
node nella stessa chain, abbiamo associazione IP sorgente reale /
Destinazione
9. Considerazioni:
necessità di cyber-criminali di comunicare sia tra loro (e.g. sharing
di carte di credito) che con il resto del mondo (e.g. rivendicazione
di azione di hacktivismo)
Utile quindi:
l’individuazione di fonti sul visible web da cui attingere
informazioni sui target e monitoring costante delle stesse
Fonti sul visible web da monitorare individuate:
Pastebin (e siti similari)
IRC
Twitter
Enhancement: Strumenti di
supporto
10. Pastebin
Motivazioni
Usato dagli hacktivist per pubblicizzare e rivendicare azioni
dimostrative
Usato dai cyber-criminal per pubblicizzare carte di credito (e
credenziali di accesso per e-banking, ecc) rubate da vendere
Soluzione
Sviluppo di un software in Python che
interroga ininterrottamente la sezione “/archive” alla ricerca di
nuovi pastes
verifica tramite regex contenuti ritenuti interessanti
invia link e copia dei pastes interessanti via email
11. IRC channel
Motivazioni
Usato da detentori di botnet
Usato per sharing di carte di credito rubate
Soluzione
Creazione di un IRC-Bot con
logging automatico della chat pubblica
possibilità di monitoring simultaneo multi-canale
riconoscimento tramite regex di contenuti interessanti e storage
degli stessi su DB + web application di gestione
12. Twitter
Motivazioni
Offre qualsiasi tipo di notizia in tempo reale
Soluzione
Set-up del software gratuito Tweetdeck con viste ad-hoc
Unificando questi progetti...
13. Risultati ottenuti
Periodo di riferimento:
Da Settembre 2013 a Novembre 2013 = 3 mesi circa
Alcuni numeri...
Circa 9 GB di traffico TOR analizzato al giorno
Circa 3 milioni di pastes analizzati in totale
Circa 50000 carte di credito univoche
Circa 9000 password
Circa 300 attacchi di vario tipo a web application (SQL Injection,
XSS, Bruteforce, ecc..)