SlideShare a Scribd company logo

Maccaglia - Cybercrime un approccio tecnologico e sociologico

S
Stefano Maccaglia
1 of 19
Download to read offline
Tesi di laurea in Sociologia CYBERCRIME: un approccio tecnologico e sociologico all’analisi e alla prevenzione Autore: Stefano Maccaglia Relatore: Prof. Andrea Meloni Correlatore Prof.ssa Assunta Viteritti
Introduzione Il mondo informatizzato ha garantito l’esplosione delle comunicazioni, la globalizzazione, ma ha generato problemi che divengono una vera criticità. Uno di questi è il crimine informatico: «Cybercrime». Il fenomeno ha travalicato le barriere dell’informatica divenendo uno strumento di coercizione, adottato in geopolitica e nel commercio come pratica competitiva.
Il Progetto: l’obiettivo Creare un agente software, basato su un algoritmo neurale, in grado di monitorare i sistemi potenzialmente attaccabili (da malware e APT) e di segnalare la presenza di una violazione o di una anomalia grazie all’analisi del comportamento dei processi della macchina. • Dall’Hacking al Cybercrime • Il Cybercrime nel nuovo millennio • Gli APT Prospettiva Storica • L’analisi degli Hacker • La «Teoria dei giochi» • Gli studi più recenti • Gli indicatori sociologici Prospettiva Sociologica • Il progetto • L’Intelligenza Artificiale • L’agente software L’analisi tecnica • La dimostrazione • I possibili scenari di applicazione Risultati
Lo spionaggio e la nascita degli APT Nell’ultimo decennio il Cybercrime è divento uno strumento utile per quei governi che vogliono ridurre il loro ritardo tecnologico a spese dei paesi più ricchi. Per questo sono nati i primi gruppi di Cybercriminali a servizio di istituzioni governative e con esse sono nati i primi «hack» che hanno come obiettivo il furto di informazioni «riutilizzabili» in prospettiva politica o industriale. Queste comunità ricevono, in cambio per il loro supporto, denaro e libertà d’azione.
Introduzione: APT in azione In questa logica può essere letta l’irreggimentazione, a servizio delle imprese nazionali, dei gruppi hacker cinesi, che ha portato alla nascita di quello che ora chiamiamo il «fenomeno APT»: sistematico attacco di aziende pubbliche e private in tutto il mondo ad opera delle «crew cinesi», iraniane, coreane, russe, brasiliane, ecc… mosse da interessi afferenti allo spionaggio industriale e militare e sponsorizzate da strutture governative o para-governative.
Il Progetto: la sociologia Ma è nella classificazione e nella “previsione” che si aprono gli scenari più importanti per una costruttiva sinergia tra la sociologia e la Sicurezza introducendo una chiave lettura essenziale per comprendere le dinamiche e il ciclo di vita del software malizioso: il “riuso” . Nel mondo del crimine informatico, e degli APT, questa pratica è fondamentale. I criminali, nella maggior parte dei casi, non sviluppano i software che usano, ma li acquistano o li richiedono a sviluppatori conniventi che li programmano seguendo le indicazioni dei propri “clienti”.
Il Progetto: l’agente software L’agente di monitoraggio è un piccolo componente software che installato sulla macchina da sottoporre a controllo, controllerà l’esecuzione di ogni nuovo processo a partire dalla sua esecuzione. L’agente opererà il monitoraggio forzando l’iniezione (Injection) dei suoi componenti ad ogni caricamento di ogni nuovo processo copiandosi all’interno delle aree di memoria assegnate al nuovo processo dal Sistema.
Il Progetto: il meccanismo di iniezione dell’agente Ogni nuova applicazione che viene eseguita richiede risorse (memoria ed elaborazione), ma prima che queste risorse possano essere rese disponibili, il mio agente si «inserisce» e analizza se la richiesta e le sue istruzioni sono «sospette». Nel frattempo l’agente blocca temporaneamente il processo (con la funzione «sleep»). Le istruzioni collezionate vengono passate alla rete neurale, che in base alla sua «esperienza» definisce se l’insieme di queste istruzioni mostra un profilo «malizioso» o «legittimo». La classificazione operata dalla rete neurale viene inoltrata all’agente che attua così una opportuna azione e alla Console per tenere traccia dell’evento.
Il funzionamento dell’Agente
Una dimostrazione dell’agente Applicazione dell’agente per contrastare un malware che verrà lanciato in una macchina sottoposta a monitoraggio. La dimostrazione mostrerà da un lato cosa accade nel sistema vittima e dall’altro cosa viene segnalato alla Console dell’operatore, ovvero allo strumento di gestione pensato per raccogliere gli allarmi e le attività registrate dai vari agenti. Bidirectional Encrypted Communication HINT Console Log Server HINT (Agente Software)
L’operatore riceve l’alert e può decidere se accettare la classificazione o rifiutarla L’agente blocca il malware, lo classifica e invia l’alert alla Console Una dimostrazione dell’agente Nel nostro caso lanceremo un eseguibile malizioso sulla macchina A, una macchina Windows 7 virtualizzata. La console girerà in un’altra macchina Windows 7 che comunica con la prima attraverso una comunicazione cifrata bidirezionale. Bidirectional Encrypted Communication HINT Console Log Server HINT (Agente Software) A B Il malware crea il suo processo e chiede risorse al Sistema 1 2 3 In base all’azione dell’operatore il processo potrà essere terminato, liberato o ulteriormente analizzato attraverso il dump della sua memoria per successivi approfondimenti.
Il Progetto: il modello di Rete Neurale usato La rete neurale scelta è un modello Multilayer Feedforward di tipo adattativo focalizzata sulla "Pattern Recognition" per la Classificazione. In genere, questo tipo di Sistemi consiste di quattro unità funzionali:  Un data set “Estrattore” (per selezionare e misurare le proprietà rappresentative di dati di ingresso grezzi in una forma ridotta).  Uno Spider. Un meccanismo di ricerca di stringhe per confrontare un modello di input con i modelli di riferimento utilizzando una misura di distanza.  Un Training Set di riferimento (contro cui il pattern di input viene confrontato),  Un Decisore (per prendere la decisione finale su quale modello di riferimento è il più vicino al modello di ingresso).
Il Progetto: le componenti della Rete Neurale
Il Progetto: il processo di classificazione e decisione
Il Progetto: il processo di correzione
Perché è rilevante la ricerca sociologica in questo campo Ancoraggio dei meccanismi di analisi e di “decisione” ai risultati dell’analisi sociologica, in particolare a quelle della “teoria dei giochi” della “razionalità limitata». La teoria dei giochi stata molto utile a sviluppare le classi analitiche e gli indicatori per la profilazione degli avversari. Ha per oggetto lo studio matematico di qualunque situazione che comporti un conflitto d'interessi, con l'intento di indicare le scelte ottimali o le decisioni che, sotto opportune condizioni, possano portare all'esito desiderato.
Perché è rilevante la ricerca sociologica in questo campo Analizzare un attacco informatico significa analizzare l’azione di attori che si confrontano su di un terreno dove le regole e le condizioni del gioco sono predeterminate, così come è predeterminabile l’obiettivo che essi si pongono: il furto di dati. Apparentemente, un attacco informatico può presentarsi in forma molto caotica e complessa. L’attaccante può adottare azioni che a volte non sembrano coerenti con la finalità ultima. In realtà, come si è dimostrato in molti casi, questi attacchi hanno il fine di “sviare l’attenzione” del personale preposto alla sicurezza dal vero obiettivo dell’attaccante, come dimostrato da B.Brenner (Akamai).
Conclusioni In futuro sarà possibile, istruendo opportunamente l’agente, sviluppare una routine di classificazione che possa non solo individuare il malware, ma anche il gruppo di attaccanti ad esso collegati a valle del collezionamento degli indicatori di compromissione specifici dell’attacco (in gergo chiamati IOCs, ovvero Indicatori di Compromissione). Bisognerà integrare all’agente un ulteriore spider che, partendo dagli indicatori forniti dallo studio sociologico sulla profilazione, possa collegare l’attacco con lo specifico gruppo di attaccanti che lo adottano o che lo hanno sviluppato. La profilazione è una delle chiavi di maggiore interesse nei moderni studi sugli attacchi informatici, ma fino ad ora, in mancanza di un agente in grado di raccogliere informazioni sulla programmazione e di registrare la dinamica dell’attacco, questo tipo di studi è stato limitato dal costo, in termini di tempo e risorse, richiesto per svolgere questa analisi manualmente.
Grazie per l’attenzione

Recommended

Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariCloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Massimo Farina
 
DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...
DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...
DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...
Stefano Maccaglia
 
RSAC - Born APT died IOC - Stefano Maccaglia
RSAC - Born APT died IOC - Stefano MaccagliaRSAC - Born APT died IOC - Stefano Maccaglia
RSAC - Born APT died IOC - Stefano Maccaglia
Stefano Maccaglia
 
DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...
DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...
DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...
Stefano Maccaglia
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Guida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di FortinetGuida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di Fortinet
Maticmind
 
B wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza GestitiB wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza Gestiti
Andrea Cirulli
 
Servizi di Sicurezza Gestiti
Servizi di Sicurezza GestitiServizi di Sicurezza Gestiti
Servizi di Sicurezza Gestiti
Andrea Cirulli
 

Recommended

Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariCloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Massimo Farina
 
DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...
DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...
DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...
Stefano Maccaglia
 
RSAC - Born APT died IOC - Stefano Maccaglia
RSAC - Born APT died IOC - Stefano MaccagliaRSAC - Born APT died IOC - Stefano Maccaglia
RSAC - Born APT died IOC - Stefano Maccaglia
Stefano Maccaglia
 
DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...
DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...
DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...
Stefano Maccaglia
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Guida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di FortinetGuida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di Fortinet
Maticmind
 
B wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza GestitiB wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza Gestiti
Andrea Cirulli
 
Servizi di Sicurezza Gestiti
Servizi di Sicurezza GestitiServizi di Sicurezza Gestiti
Servizi di Sicurezza Gestiti
Andrea Cirulli
 
Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...
Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...
Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...
HelpRansomware
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi
Leonardo
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
CristianFalvo
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
Vincenzo Calabrò
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò
 
Coevoluzione di malware e anti malware con algoritmi genetici
Coevoluzione di malware e anti malware con algoritmi geneticiCoevoluzione di malware e anti malware con algoritmi genetici
Coevoluzione di malware e anti malware con algoritmi genetici
Antonio Tandoi
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
jekil
 
Fisherman's tale easy security threat 4.0
Fisherman's tale easy security threat 4.0Fisherman's tale easy security threat 4.0
Fisherman's tale easy security threat 4.0
Massimiliano Brolli
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017
Fabio Vernacotola
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
raffaele_forte
 
Security Summit Rome 2011
Security Summit Rome 2011Security Summit Rome 2011
Security Summit Rome 2011
Marco Morana
 
info.pdf
info.pdfinfo.pdf
info.pdf
Matte68
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishing
GiuliaMilan4
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico Pelino
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico PelinoSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico Pelino
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico Pelino
Digital Law Communication
 
L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"
qlsrl
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
DanieleMaijnelli
 
Netwitness RT - Don’t scratch that patch.pptx
Netwitness RT - Don’t scratch that patch.pptxNetwitness RT - Don’t scratch that patch.pptx
Netwitness RT - Don’t scratch that patch.pptx
Stefano Maccaglia
 
Insert coin to continue - Ransomware in the gaming industry.pdf
Insert coin to continue - Ransomware in the gaming industry.pdfInsert coin to continue - Ransomware in the gaming industry.pdf
Insert coin to continue - Ransomware in the gaming industry.pdf
Stefano Maccaglia
 

More Related Content

Similar to Maccaglia - Cybercrime un approccio tecnologico e sociologico

Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...
Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...
Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...
HelpRansomware
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi
Leonardo
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
CristianFalvo
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
Vincenzo Calabrò
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò
 
Coevoluzione di malware e anti malware con algoritmi genetici
Coevoluzione di malware e anti malware con algoritmi geneticiCoevoluzione di malware e anti malware con algoritmi genetici
Coevoluzione di malware e anti malware con algoritmi genetici
Antonio Tandoi
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
jekil
 
Fisherman's tale easy security threat 4.0
Fisherman's tale easy security threat 4.0Fisherman's tale easy security threat 4.0
Fisherman's tale easy security threat 4.0
Massimiliano Brolli
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017
Fabio Vernacotola
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
raffaele_forte
 
Security Summit Rome 2011
Security Summit Rome 2011Security Summit Rome 2011
Security Summit Rome 2011
Marco Morana
 
info.pdf
info.pdfinfo.pdf
info.pdf
Matte68
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishing
GiuliaMilan4
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico Pelino
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico PelinoSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico Pelino
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico Pelino
Digital Law Communication
 
L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"
qlsrl
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
DanieleMaijnelli
 

Similar to Maccaglia - Cybercrime un approccio tecnologico e sociologico (20)

Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...
Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...
Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
Coevoluzione di malware e anti malware con algoritmi genetici
Coevoluzione di malware e anti malware con algoritmi geneticiCoevoluzione di malware e anti malware con algoritmi genetici
Coevoluzione di malware e anti malware con algoritmi genetici
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
Fisherman's tale easy security threat 4.0
Fisherman's tale easy security threat 4.0Fisherman's tale easy security threat 4.0
Fisherman's tale easy security threat 4.0
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017Horus inail doc_premio_forumpa2017
Horus inail doc_premio_forumpa2017
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
Security Summit Rome 2011
Security Summit Rome 2011Security Summit Rome 2011
Security Summit Rome 2011
 
info.pdf
info.pdfinfo.pdf
info.pdf
 
Realizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishingRealizzazione di un workflow integrato per la rilevazione di domini phishing
Realizzazione di un workflow integrato per la rilevazione di domini phishing
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico Pelino
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico PelinoSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico Pelino
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Enrico Pelino
 
L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
 

More from Stefano Maccaglia

Netwitness RT - Don’t scratch that patch.pptx
Netwitness RT - Don’t scratch that patch.pptxNetwitness RT - Don’t scratch that patch.pptx
Netwitness RT - Don’t scratch that patch.pptx
Stefano Maccaglia
 
Insert coin to continue - Ransomware in the gaming industry.pdf
Insert coin to continue - Ransomware in the gaming industry.pdfInsert coin to continue - Ransomware in the gaming industry.pdf
Insert coin to continue - Ransomware in the gaming industry.pdf
Stefano Maccaglia
 
From velvet to silk there is still a lot of sweat
From velvet to silk there is still a lot of sweatFrom velvet to silk there is still a lot of sweat
From velvet to silk there is still a lot of sweat
Stefano Maccaglia
 
Light, Dark and... a Sunburst... dissection of a very sophisticated attack.
Light, Dark and... a Sunburst... dissection of a very sophisticated attack.Light, Dark and... a Sunburst... dissection of a very sophisticated attack.
Light, Dark and... a Sunburst... dissection of a very sophisticated attack.
Stefano Maccaglia
 
Oh... that's ransomware and... look behind you a three-headed Monkey
Oh... that's ransomware and... look behind you a three-headed MonkeyOh... that's ransomware and... look behind you a three-headed Monkey
Oh... that's ransomware and... look behind you a three-headed Monkey
Stefano Maccaglia
 
UN Presentation - 10-17-2018 - Maccaglia
UN Presentation - 10-17-2018 - MaccagliaUN Presentation - 10-17-2018 - Maccaglia
UN Presentation - 10-17-2018 - Maccaglia
Stefano Maccaglia
 
Chasing the Adder. A tale from the APT world...
Chasing the Adder. A tale from the APT world...Chasing the Adder. A tale from the APT world...
Chasing the Adder. A tale from the APT world...
Stefano Maccaglia
 
BSides IR in Heterogeneous Environment
BSides IR in Heterogeneous EnvironmentBSides IR in Heterogeneous Environment
BSides IR in Heterogeneous Environment
Stefano Maccaglia
 

More from Stefano Maccaglia (8)

Netwitness RT - Don’t scratch that patch.pptx
Netwitness RT - Don’t scratch that patch.pptxNetwitness RT - Don’t scratch that patch.pptx
Netwitness RT - Don’t scratch that patch.pptx
 
Insert coin to continue - Ransomware in the gaming industry.pdf
Insert coin to continue - Ransomware in the gaming industry.pdfInsert coin to continue - Ransomware in the gaming industry.pdf
Insert coin to continue - Ransomware in the gaming industry.pdf
 
From velvet to silk there is still a lot of sweat
From velvet to silk there is still a lot of sweatFrom velvet to silk there is still a lot of sweat
From velvet to silk there is still a lot of sweat
 
Light, Dark and... a Sunburst... dissection of a very sophisticated attack.
Light, Dark and... a Sunburst... dissection of a very sophisticated attack.Light, Dark and... a Sunburst... dissection of a very sophisticated attack.
Light, Dark and... a Sunburst... dissection of a very sophisticated attack.
 
Oh... that's ransomware and... look behind you a three-headed Monkey
Oh... that's ransomware and... look behind you a three-headed MonkeyOh... that's ransomware and... look behind you a three-headed Monkey
Oh... that's ransomware and... look behind you a three-headed Monkey
 
UN Presentation - 10-17-2018 - Maccaglia
UN Presentation - 10-17-2018 - MaccagliaUN Presentation - 10-17-2018 - Maccaglia
UN Presentation - 10-17-2018 - Maccaglia
 
Chasing the Adder. A tale from the APT world...
Chasing the Adder. A tale from the APT world...Chasing the Adder. A tale from the APT world...
Chasing the Adder. A tale from the APT world...
 
BSides IR in Heterogeneous Environment
BSides IR in Heterogeneous EnvironmentBSides IR in Heterogeneous Environment
BSides IR in Heterogeneous Environment
 

Maccaglia - Cybercrime un approccio tecnologico e sociologico

  • 1. Tesi di laurea in Sociologia CYBERCRIME: un approccio tecnologico e sociologico all’analisi e alla prevenzione Autore: Stefano Maccaglia Relatore: Prof. Andrea Meloni Correlatore Prof.ssa Assunta Viteritti
  • 2. Introduzione Il mondo informatizzato ha garantito l’esplosione delle comunicazioni, la globalizzazione, ma ha generato problemi che divengono una vera criticità. Uno di questi è il crimine informatico: «Cybercrime». Il fenomeno ha travalicato le barriere dell’informatica divenendo uno strumento di coercizione, adottato in geopolitica e nel commercio come pratica competitiva.
  • 3. Il Progetto: l’obiettivo Creare un agente software, basato su un algoritmo neurale, in grado di monitorare i sistemi potenzialmente attaccabili (da malware e APT) e di segnalare la presenza di una violazione o di una anomalia grazie all’analisi del comportamento dei processi della macchina. • Dall’Hacking al Cybercrime • Il Cybercrime nel nuovo millennio • Gli APT Prospettiva Storica • L’analisi degli Hacker • La «Teoria dei giochi» • Gli studi più recenti • Gli indicatori sociologici Prospettiva Sociologica • Il progetto • L’Intelligenza Artificiale • L’agente software L’analisi tecnica • La dimostrazione • I possibili scenari di applicazione Risultati
  • 4. Lo spionaggio e la nascita degli APT Nell’ultimo decennio il Cybercrime è divento uno strumento utile per quei governi che vogliono ridurre il loro ritardo tecnologico a spese dei paesi più ricchi. Per questo sono nati i primi gruppi di Cybercriminali a servizio di istituzioni governative e con esse sono nati i primi «hack» che hanno come obiettivo il furto di informazioni «riutilizzabili» in prospettiva politica o industriale. Queste comunità ricevono, in cambio per il loro supporto, denaro e libertà d’azione.
  • 5. Introduzione: APT in azione In questa logica può essere letta l’irreggimentazione, a servizio delle imprese nazionali, dei gruppi hacker cinesi, che ha portato alla nascita di quello che ora chiamiamo il «fenomeno APT»: sistematico attacco di aziende pubbliche e private in tutto il mondo ad opera delle «crew cinesi», iraniane, coreane, russe, brasiliane, ecc… mosse da interessi afferenti allo spionaggio industriale e militare e sponsorizzate da strutture governative o para-governative.
  • 6. Il Progetto: la sociologia Ma è nella classificazione e nella “previsione” che si aprono gli scenari più importanti per una costruttiva sinergia tra la sociologia e la Sicurezza introducendo una chiave lettura essenziale per comprendere le dinamiche e il ciclo di vita del software malizioso: il “riuso” . Nel mondo del crimine informatico, e degli APT, questa pratica è fondamentale. I criminali, nella maggior parte dei casi, non sviluppano i software che usano, ma li acquistano o li richiedono a sviluppatori conniventi che li programmano seguendo le indicazioni dei propri “clienti”.
  • 7. Il Progetto: l’agente software L’agente di monitoraggio è un piccolo componente software che installato sulla macchina da sottoporre a controllo, controllerà l’esecuzione di ogni nuovo processo a partire dalla sua esecuzione. L’agente opererà il monitoraggio forzando l’iniezione (Injection) dei suoi componenti ad ogni caricamento di ogni nuovo processo copiandosi all’interno delle aree di memoria assegnate al nuovo processo dal Sistema.
  • 8. Il Progetto: il meccanismo di iniezione dell’agente Ogni nuova applicazione che viene eseguita richiede risorse (memoria ed elaborazione), ma prima che queste risorse possano essere rese disponibili, il mio agente si «inserisce» e analizza se la richiesta e le sue istruzioni sono «sospette». Nel frattempo l’agente blocca temporaneamente il processo (con la funzione «sleep»). Le istruzioni collezionate vengono passate alla rete neurale, che in base alla sua «esperienza» definisce se l’insieme di queste istruzioni mostra un profilo «malizioso» o «legittimo». La classificazione operata dalla rete neurale viene inoltrata all’agente che attua così una opportuna azione e alla Console per tenere traccia dell’evento.
  • 10. Una dimostrazione dell’agente Applicazione dell’agente per contrastare un malware che verrà lanciato in una macchina sottoposta a monitoraggio. La dimostrazione mostrerà da un lato cosa accade nel sistema vittima e dall’altro cosa viene segnalato alla Console dell’operatore, ovvero allo strumento di gestione pensato per raccogliere gli allarmi e le attività registrate dai vari agenti. Bidirectional Encrypted Communication HINT Console Log Server HINT (Agente Software)
  • 11. L’operatore riceve l’alert e può decidere se accettare la classificazione o rifiutarla L’agente blocca il malware, lo classifica e invia l’alert alla Console Una dimostrazione dell’agente Nel nostro caso lanceremo un eseguibile malizioso sulla macchina A, una macchina Windows 7 virtualizzata. La console girerà in un’altra macchina Windows 7 che comunica con la prima attraverso una comunicazione cifrata bidirezionale. Bidirectional Encrypted Communication HINT Console Log Server HINT (Agente Software) A B Il malware crea il suo processo e chiede risorse al Sistema 1 2 3 In base all’azione dell’operatore il processo potrà essere terminato, liberato o ulteriormente analizzato attraverso il dump della sua memoria per successivi approfondimenti.
  • 12. Il Progetto: il modello di Rete Neurale usato La rete neurale scelta è un modello Multilayer Feedforward di tipo adattativo focalizzata sulla "Pattern Recognition" per la Classificazione. In genere, questo tipo di Sistemi consiste di quattro unità funzionali:  Un data set “Estrattore” (per selezionare e misurare le proprietà rappresentative di dati di ingresso grezzi in una forma ridotta).  Uno Spider. Un meccanismo di ricerca di stringhe per confrontare un modello di input con i modelli di riferimento utilizzando una misura di distanza.  Un Training Set di riferimento (contro cui il pattern di input viene confrontato),  Un Decisore (per prendere la decisione finale su quale modello di riferimento è il più vicino al modello di ingresso).
  • 13. Il Progetto: le componenti della Rete Neurale
  • 14. Il Progetto: il processo di classificazione e decisione
  • 15. Il Progetto: il processo di correzione
  • 16. Perché è rilevante la ricerca sociologica in questo campo Ancoraggio dei meccanismi di analisi e di “decisione” ai risultati dell’analisi sociologica, in particolare a quelle della “teoria dei giochi” della “razionalità limitata». La teoria dei giochi stata molto utile a sviluppare le classi analitiche e gli indicatori per la profilazione degli avversari. Ha per oggetto lo studio matematico di qualunque situazione che comporti un conflitto d'interessi, con l'intento di indicare le scelte ottimali o le decisioni che, sotto opportune condizioni, possano portare all'esito desiderato.
  • 17. Perché è rilevante la ricerca sociologica in questo campo Analizzare un attacco informatico significa analizzare l’azione di attori che si confrontano su di un terreno dove le regole e le condizioni del gioco sono predeterminate, così come è predeterminabile l’obiettivo che essi si pongono: il furto di dati. Apparentemente, un attacco informatico può presentarsi in forma molto caotica e complessa. L’attaccante può adottare azioni che a volte non sembrano coerenti con la finalità ultima. In realtà, come si è dimostrato in molti casi, questi attacchi hanno il fine di “sviare l’attenzione” del personale preposto alla sicurezza dal vero obiettivo dell’attaccante, come dimostrato da B.Brenner (Akamai).
  • 18. Conclusioni In futuro sarà possibile, istruendo opportunamente l’agente, sviluppare una routine di classificazione che possa non solo individuare il malware, ma anche il gruppo di attaccanti ad esso collegati a valle del collezionamento degli indicatori di compromissione specifici dell’attacco (in gergo chiamati IOCs, ovvero Indicatori di Compromissione). Bisognerà integrare all’agente un ulteriore spider che, partendo dagli indicatori forniti dallo studio sociologico sulla profilazione, possa collegare l’attacco con lo specifico gruppo di attaccanti che lo adottano o che lo hanno sviluppato. La profilazione è una delle chiavi di maggiore interesse nei moderni studi sugli attacchi informatici, ma fino ad ora, in mancanza di un agente in grado di raccogliere informazioni sulla programmazione e di registrare la dinamica dell’attacco, questo tipo di studi è stato limitato dal costo, in termini di tempo e risorse, richiesto per svolgere questa analisi manualmente.