Tesi di: Lino Antonio Buono Relatore: Marco Cremonini Lavoro dedicato a tecniche avanzate di OSINT con particolare attenzione alle possibili strategie di deaninomizzazione di comunicazioni via TOR.

1. Darknet e Cyber-
Intelligence
Progettazione e realizzazione di un ambiente
di Cyber-Intelligence:
dall’underground alle darknet
Relatore:
Marco CREMONINI
Tesi di laurea di:
Lino Antonio BUONO

2. Problema iniziale
 TOR viene sempre più usato dai cyber-criminali
 IP sorgente di attività illecite online nei log diviene informazione
inutile
 Maggiore senso di sicurezza nei cyber-criminali provoca
 maggiori atti di cyber-crime
 maggiori relazioni tra cyber-criminali
 Ne consegue:
 Necessità di nuovi strumenti per effettuare Cyber-Intelligence che
siano efficaci nonostante l’uso di TOR

3. Soluzione
 Creazione dell’IntercepTOR, cioè di
 un ambiente semi-automatico atto alla deanonimizzazione di utenti
TOR, tramite l’analisi e conseguente intercettazione ed eventuale
trojanizzazione del traffico proveniente dalla darknet TOR.
 Componenti fondamentali dell’IntercepTOR:
 una VM ospitante un exit-node TOR
 una VM per analisi, intercettazione e trojanizzazione del traffico in
uscita dall’exit-node
 una VPS connessa tramite VPN Point-to-Point per
 proteggere (l’identità del) l’IntercepTOR dai cyber-criminali
 ottimizzare la quantità di traffico utile sfruttando la
localizzazione geografica dell’exit-node

4. IntercepTOR
Tecniche di deanonimizzazione
 Considerazione
 Necessario essere il più stealth possibile, quindi:
 applicare ad ogni caso la tecnica meno invasiva che permetta di
raggiungere l’obiettivo
 Tecniche di deanonimizzazione ideate, ordinate per grado di invasività:
 Passiva: Exit-node monitoring (dumb users)
 Parzialmente Attiva: Exit-node monitoring + MiTM & SSLStrip
Attack
 Attiva: HTTP Response Trojanizer

5. Deanonimizzazione passiva
 Considerazioni:
 Traffico in uscita da exit-node è in chiaro
 Confusione degli utenti tra concetti di anonimato e sicurezza
 Risultato:
 Utenti usano servizi autenticati tramite TOR senza utilizzare
cifratura end-to-end (e.g. accesso a webmail usando protocollo
HTTP)
 Credenziali di accesso visibili in clear-text all’exit-node owner
 Informazioni reperibili dal servizio utilizzato e da eventuale profilo
personale

6. Deanonimizzazione parzialmente
attiva
 Scenario: Not-So-Dumb user
 Utilizzo HTTPS per servizi autenticati sul web
 Credenziali (nonchè token di sessione, ecc..) cifrati
 Soluzione:
 Attacchi automatici contro HTTPS
 SSLStrip Attack (stealth)
 MiTM Attack (visibile, utilizzato come piano B)

7. Deanonimizzazione attiva
 Scenario: servizi non autenticati
 Nessuna speranza che l’utente riveli la sua identità o la sua
localizzazione
 Soluzione:
 Trojanizzare le risposte HTTP per sfruttare una delle seguenti
tecniche:
 Out-of-Band HTTP request
(i.e. GET/POST request via script Flash o Java)
 Out-of-Band ICMP request
(i.e. ICMP request via script Java oppure via client-side
exploit)
 Full system pownage
(i.e. client-side exploit)

8. IntercepTOR weaponizing
(NSA Surveillance?)
 Massimizzare numero di exit-node gestiti
 Massimizzare performance del server e banda dei nodi: l’algoritmo di
routing di TOR predilige nodi veloci
 (D)DoS degli altri nodi: ridurre le prestazioni degli altri nodi rende
preferibili i nostri
 Posizionamento strategico dei nodi: TOR predilige exit-node vicini
geograficamente alle risorse web richieste
 Path disruption: se TOR ci sceglie come nodi intermedi, interrompiamo
la connessione
 Compromissione di altri nodi
 Set-up e trojanizzazione di entry-node: possedendo entry-node ed exit-
node nella stessa chain, abbiamo associazione IP sorgente reale /
Destinazione

9.  Considerazioni:
 necessità di cyber-criminali di comunicare sia tra loro (e.g. sharing
di carte di credito) che con il resto del mondo (e.g. rivendicazione
di azione di hacktivismo)
 Utile quindi:
 l’individuazione di fonti sul visible web da cui attingere
informazioni sui target e monitoring costante delle stesse
 Fonti sul visible web da monitorare individuate:
 Pastebin (e siti similari)
 IRC
 Twitter
Enhancement: Strumenti di
supporto

10. Pastebin
 Motivazioni
 Usato dagli hacktivist per pubblicizzare e rivendicare azioni
dimostrative
 Usato dai cyber-criminal per pubblicizzare carte di credito (e
credenziali di accesso per e-banking, ecc) rubate da vendere
 Soluzione
 Sviluppo di un software in Python che
 interroga ininterrottamente la sezione “/archive” alla ricerca di
nuovi pastes
 verifica tramite regex contenuti ritenuti interessanti
 invia link e copia dei pastes interessanti via email

11. IRC channel
 Motivazioni
 Usato da detentori di botnet
 Usato per sharing di carte di credito rubate
 Soluzione
 Creazione di un IRC-Bot con
 logging automatico della chat pubblica
 possibilità di monitoring simultaneo multi-canale
 riconoscimento tramite regex di contenuti interessanti e storage
degli stessi su DB + web application di gestione

12. Twitter
 Motivazioni
 Offre qualsiasi tipo di notizia in tempo reale
 Soluzione
 Set-up del software gratuito Tweetdeck con viste ad-hoc
Unificando questi progetti...

13. Risultati ottenuti
 Periodo di riferimento:
 Da Settembre 2013 a Novembre 2013 = 3 mesi circa
 Alcuni numeri...
 Circa 9 GB di traffico TOR analizzato al giorno
 Circa 3 milioni di pastes analizzati in totale
 Circa 50000 carte di credito univoche
 Circa 9000 password
 Circa 300 attacchi di vario tipo a web application (SQL Injection,
XSS, Bruteforce, ecc..)