Il documento discute i 'trojan di stato', malware utilizzati per il cyber spionaggio, sottolineando le loro caratteristiche e i problemi derivanti dal loro utilizzo. Viene evidenziato il rischio di una corsa agli armamenti tra chi vorrebbe utilizzare tali sistemi e chi cerca di difendersi, creando un mercato underground problematico. Infine, si pone la questione su chi proteggerà le autorità dalle controffensive dei criminali e le implicazioni di potenziali hack degli strumenti utilizzati dagli inquirenti.

1. "Trojan di Stato":
molte innovazioni,
molti problemi.
…AND WHAT COULD POSSIBLY GO WRONG ?
ESC2k16

2. 2© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
whoami
Andrea Zapparoli Manzoni - Head of Cyber Security – "ACME, Inc"
Background in Scienze Politiche, Computer Science e (Ethical) Hacking
 Membro Osservatorio per la Sicurezza Nazionale (OSN) 2012-2014
 Board Advisor CSCSS – Center for Strategic Cyberspace + Security Science (UK)
 Assintel: Consiglio Direttivo / Resp. GdL ICT Security
 Clusit: Consiglio Direttivo e docente
 Co-autore del Rapporto Clusit (2012, 2013, 2014, 2015, 2016…)
 Co-autore del Framework Nazionale di Cyber Security (2016)
 Co-autore di numerosi WP: Sicurezza Social, Frodi Online, FSN, ROSI, etc
 More…
ESC2k16

3. 3© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
I "trojan di stato" sono....
Malware (con al contorno tutta l'infrastruttura del caso).
Secondo una definizione del DoD americano un TdS è un cyber attack:
Ovvero: un captatore informatico è sostanzialmente indistinguibile da un malware dedicato al
cyber espionage o, anche, al cyber crime di alto profilo. In effetti è un RAT, quindi non è una
"microspia". E' attivo. E' stealth. Ha il controllo del device infettato (in lettura e scrittura).
NB Normalmente i TdS sono prodotti da aziende private, soggette a livelli di oversight minimi.
ESC2k16

4. Un po' di contesto:
da dove nasce questa
storia dei TdS ?
…AND WHAT COULD POSSIBLY GO WRONG ?
ESC2k16

5. 5© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Storia Antica....
ESC2k16

6. 6© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
10 anni dopo....
ESC2k16

7. 7© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Oggi....
ESC2k16

8. 8© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Oggi....
ESC2k16

9. 9© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
La nuova normativa italiana....
http://www.lastampa.it/2016/06/22/italia/cronache/intercet
tazioni-con-i-trojan-di-stato-ecco-la-proposta-di-legge-
29lEUvO3VyOG6NCRDEKlMO/pagina.html
ESC2k16

10. …AND WHAT COULD POSSIBLY GO WRONG ?
Quindi oggi usare un
RAT per spiare un
indagato è OK, a certe
condizioni. Quali
potrebbero essere le
possibili conseguenze
pratiche "sul campo" ?
ESC2k16

11. 11© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
4 scenari spinosi "a caso"….
Problemi
Faccio una perizia per un cliente
Trovo un captatore sul mio
device
Faccio una perizia per la mia
azienda ACME, Inc.
Cercano di infettarmi e non ci
riescono perchè…
Trovo un Captatore sull'iPhone
dell'AD mentre faccio altro
Che faccio ? A chi lo dico ? Lo
rimuovo ? Lo lascio lì ? Lo
reverso e me lo studio ?
Mi accorgo di qualcosa, la
studio, chiamo gli amici in
soccorso, e scopro di essere
sotto osservazione.
Che faccio ? A chi lo dico ? Lo
rimuovo ? Lo lascio lì ? Lo
hackero / imbroglio / reverso e
mi vendo gli 0day ? 
Trovo un Captatore sull'iPad
dell'AD (ovvero un Trojan, poi lo
traccio e capisco che è di
Gamma o di NSO)
WTF ?!? Se non lo dico l'azienda
mi può licenziare / fare causa ?
Mi difendo attivamente (BTW per
me potrebbe essere un malware
di chiunque). Questo mi rende
sospetto ?
NB e se faccio hacking back,
senza sapere che si tratta di
un'attività di PG ? 
ESC2k16

12. 12© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Conseguenze della diffusione dei TdS (IMHO)
1) Si innesca una "corsa agli armamenti"
Da un lato tutti vorranno avere ( = comprare) capacità
di utilizzo / deployment di questi sistemi (i privati per
spiarsi tra marito e moglie, genitori e figli etc, i
delinquenti per spiare inquirenti e magistrati, le
aziende per spiare i dipendenti…) e dall'altro tutti
vorranno avere strumenti (preventivi e reattivi) di
contrasto ai Trojan di Stato. Ne nascerà un mercato
underground molto remunerativo e pericoloso (più di
quanto già non sia).
 Delirio totale globale
ESC2k16

13. 13© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
2) Chi protegge gli inquirenti: in questa diffusione su tutti
i fronti di sistemi basati su malware deputati allo
spionaggio (di Stato e non), è inevitabile che gli
inquirenti saranno contrattaccati dai criminali e infettati
da RAT a loro volta. Chi li difende ? La vedo male….
3) Chi garantisce che i captatori (e chi offre il servizio)
non vengano a loro volta hackerati ? Se l'infrastruttura
(spesso privata) di supporto viene bucata / va giù, gli
inquirenti rimangono tagliati fuori. E se i dati raccolti dal
captatore sono taroccati sul device, gli investigatori
raccolgono il nulla, o peggio falsi indizi. Etc Etc.
 Di nuovo, delirio totale globale. Ne vale la pena ?
Conseguenze della diffusione dei TdS (IMHO)
ESC2k16

14. 14© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Domande?
ESC2k16

15. 15© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
ESC2k16