Attacco ai dati e alla privacy La fibra ottica come nuovo campo di battaglia - Lugano - 24 marzo 2015
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy La fibra ottica come nuovo campo di battaglia LGT Luigi Ranzato -‐ luigi.ranzato@gmail.com
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Caso reale: - Una piccola azienda subisce un attacco informatico ad uno dei sui router ISDN. - L’attacker ha preso il controllo del dispositivo ed ha modificato a suo piacimento determinati parametri per fare chiamate su numeri internazionali a tariffazione elevata. - L’azienda ha subito un discreto danno economico
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Caso reale: - L’attacker ha lasciato una traccia …. l’IP - Gli inquirenti hanno potuto risalire a un luogo fisico localizzato in Romania - Passati circa due mesi (rogatoria internazionale), gli inquirenti hanno fatto irruzione con le forze speciali nel “covo” dell’attacker …. - Risultato?
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Caso reale: - Str umenti inadeguati (PC windows xp, …. ) - Strumenti di hacking banali per scanning automatizzato di centralini, e dizionari di pw scaricabili dalla rete - Email e web page di phishing già pronte all’uso - Elenchi lunghissimi di IP con servizi vulnerabili - Bassissimo skill - Numerose vittime in molti stati Europei e non.. - Fibra ottica!
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Lesson learned: -‐ Non serve un grande esperto di informaBca per provocare danni consistenB -‐ L’hacker che è stato individuato è solo un componente “sBpendiato” di un gruppo criminale. (manovalanza di basso livello) -‐ Se un solo soggeMo con scarse competenze ha provocato consistenB danni economici, cosa possono fare i grandi gruppi criminali? -‐ Chi sono gli odierni aMori ?
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Tipologie degli attaccanti : -‐ SoggeQ che appartentono a organizzazioni criminali -‐ Spionaggio industriale -‐ Insider -‐ AQvisB o HackBvisB (Lizard squad, Anonymous, … ) -‐ Wannabe, lamer script kiddie Ma l’elenco non è completo …
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Report Verizon – 2014 – www.verizon.com • DBIR – Data Breach Investigation Report • Analisi dettagliata di circa 10 anni di dati relativi agli incidenti gestiti da Verizon e da altri 50 partners, circa 100.000. • La moltitudine di incidenti può essere ricondotta a sole 9 macro categorie
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Tipologie degli attacchi : - da report Verizon DBIR 2014 - www.verizon.com Sole 9 macro categorie - DOS Attack - Crimware - Web App Attack - Cyber espionage - POS intrusion - Payment card - Skimmer - Phisical theft and loss - Miscellaneous errors - Insider misuse
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Confronto sull’incidenza degli attacchi : - da report Verizon DBIR 2014 - www.verizon.com
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Tipologie degli attacchi : - da report Verizon DBIR 2014 - www.verizon.com La vi&ma Potreste essere voi. Il rischio di restare viQma di un incidente di sicurezza accumuna imprese grandi e piccole e tuQ i seMori produQvi. L’obie&vo I cyber criminali mirano essenzialmente a daB bancari e di pagamento che possono facilmente converBre in denaro. Anche le credenziali utente sono un obieQvo appeBbile … ZEUS, CITADEL … L’a,acco Hacking e malware sono le forme di aMacco più frequenB, server e disposiBvi utente (es. PC) gli obieQvi principali ….. La caccia I cyber criminali sono diventaB più veloci nel violare i sistemi. Anche le viQme sono diventate più rapide, tuMavia conBnuano a perdere terreno ….
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Report Verizon – DBIR 2014 – www.verizon.com I criminali stanno diventando più abili e veloci e stanno distanziando le viQme nella capacità di affrontare le minacce
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Siamo parte, piu o meno consapevole, di una guerra asimmetrica: Definizione Darpa: “la guerra asimmetrica è caraMerizzata da azioni con pochi obieQvi di difficile individuazione, condoMe con mezzi che, se paragonaB agli effeQ finali delle operazioni, appaiono estremamente limitaB.” I contendenti “deboli” vogliono parte delle risorse dei nostri sistemi (CPU, banda, IP …) per sferrare attacchi di grande portata. Tante piccole goccie creano un fiume (DDOS)
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Somewhere deep inside North Korea is a cell of sophisBcated cyber warriors known as Bureau 121. A North Korean defector, Jang Se-‐yul, recently told Reuters that Bureau 121 consists of roughly 1,800 hackers, who live a relaBvely pampered life as elites in the country's military Some invesBgators believe this group, or something like it, commiMed the damaging hack against Sony Pictures, a revenge scheme for the studio’s upcoming release enBtled “The Interview” …. hMp://www.washingtonpost.com/blogs/the-‐switch/wp/2014/12/08/why-‐cyber-‐armies-‐are-‐a-‐good-‐investment-‐for-‐countries-‐like-‐north-‐korea/
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy ”…. Cyber warfare is an important asymmetric dimension of conflict that North Korea will probably conBnue to emphasize— in part because of its deniability and low relaBve costs," ScaparroQ tesBfied. Because determining the origins of a cyber a,ack can be incredibly difficult, making it easier for aMackers to deny responsibility. " …. an Hewle,-‐Packard Security Briefing from earlier this year said. "North Korea’s hermit infrastructure creates a cyber-‐terrain that deters reconnaissance. Because North Korea has few Internet connecBons to the outside world, anyone seeking intelligence on North Korea’s networks has to expend more resources for cyber reconnaissance." hMp://www.washingtonpost.com/blogs/the-‐switch/wp/2014/12/08/why-‐cyber-‐armies-‐are-‐a-‐good-‐investment-‐for-‐countries-‐like-‐north-‐korea/
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy …. But cyber-‐sleuths unaffiliated with the U.S. government, who are conducBng their own invesBgaBons, have uncovered some clues that suggest there was more to the aMack. A group of "hackLvists" who have been targeBng Sony for years, including in the 2011 aMack that took down the PlayStaBon Network, may have also played a role…. Lizard Squad posted to a now-‐suspended TwiMer account, saying it's "working together with #GoP on a Christmas project." The connecBons suggest that North Korea and hackLvist groups could have worked together on different parts of the Sony Pictures breach, or there may have been overlapping aMacks, says Dan Clements, president of IntelCrawler hMp://www.bloomberg.com/news/arBcles/2014-‐12-‐23/north-‐korea-‐may-‐have-‐had-‐help-‐from-‐the-‐hackers-‐who-‐hit-‐sony-‐in-‐2011
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Perchè preoccuparci per questo tipo di notizie? • Questi attivisti da dove prendono le risorse necessarie ai loro azioni dimostrative? • Per effettuare un attacco DDOS a Sony o altri grandi nomi servono grandi risorse in termini di HW, SW e banda. • La rete internet viene scansionata regolarmente alla ricerca di risorse vulnerabili, come router casalinghi, PC, dispositivi mobili • Molti dei nostri dispositivi vengono usati, o lo sono stati, in attacchi informatici di grande portata • Cambiate le password di default, e non utilizzate sempre le stesse
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Lizard Group mette a disposizione lo Stresser • Stresser è un servizio a pagamento che da la possibilità a chiunque di verificare se una certa risorsa è online – DDOS? • Il servizio va a “drenare” banda passante da home router poco protetti. hMp://krebsonsecurity.com/
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy iOS e Android • Sempre più spesso affidiamo ai dispositivi mobili attività importanti, come acquisti online e gestione home banking • Quale grado di affidabilità e sicurezza possiamo attribuire a questi dispositivi? • Avete effettuato operazioni di rooting o jailbreack?
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy iOS e Android Cache e temp file Attacchi run-time post esecuzione h,p://www.iks.it/security-‐report-‐app-‐mobile-‐2014.html
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Relazione 2014 – Presidenza del Consiglio dei Ministri • Relazione sulla politica dell’informazione per la sicurezza • Minaccia proveniente dalla Jihad globale e regionale • Minacce all’economia • Minaccia nel cyberspazio • Aumentata attenzione cyberspazio per garantire crescita economica
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Relazione 2014 – Presidenza del Consiglio dei Ministri • Contrasto alle attività di cyber spionaggio finalizzate all’acquisizione illegale di Know How e raggiungimento delle informazioni necessarie per l’acquisizione di pacchetti azionari • Contrasto alle attività degli hacktivisti a protezione di target Istituzionali."
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Relazione 2014 – Presidenza del Consiglio dei Ministri • Si rileva l’utilizzo del cyber spazio in contesti di confrono militare • Gli attacchi cibernetici sono armi complementari in guerre “ibride” molto sofisticate e complesse • Nascita di una dimensione digitale della geopolitica caratterizzata da confini “liquidi” • Il cyberspace come terreno di scontro per attuali e futuri conflitti • Es.. Impiego di stuxnet (2010) per rallentare il programma nucleare Iraniano
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Relazione 2014 – Presidenza del Consiglio dei Ministri • Crescono le organizzazioni criminali che arruolano hacker con vaste conoscenze • Cresce un mercato nero del cyber crime dove è possibile acquistare gli strumenti necessari per la commissione di illeciti …. (malware, ransomware …). Anche soggetti con scarse conoscenze possono realizzare attacchi molto sofisticati • Trojan e ransomware vengono creati anche solo per essere venduti sul mercato nero • Finalità principale dei malware è quella di recuperare credenziali di accesso a servizi bancari online
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy STUXNET Stuxnet è un virus informaBco creato e appositamente diffuso dal governo USA (nell'ambito dell'operazione "Giochi Olimpici" iniziata da Bush nel 2006 e che consisteva in un "ondata" di "aMacchi digitali" contro l'Iran) in collaborazione col governo Israeliano nella centrale nucleare iraniana di Natanz, allo scopo di sabotare la centrifuga della centrale tramite l'esecuzione di specifici comandi da inviarsi all'hardware di controllo industriale responsabile della velocità di rotazione delle turbine allo scopo di danneggiarle. Nel luglio 2013 Edward Snowden ha confermato che Stuxnet è stato progeMato dalla NSA con la collaborazione dell' "intelligence" israeliana, tramite un corpo speciale noto come Foreign Affairs Directorate (FAD). hMp://it.wikipedia.org/wiki/Stuxnet
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy CIA – Riorganizzazione in chiave cyber-spy • Il direttore della CIA ha annunciato (marzo 2015) una profonda riorganizzazione la fine di divisioni in vigore da decenni e la creazione di 10 nuovi centri specializzati in spionaggio industriale • Sarà creata anche una divisione con focus sullo sfruttamento delle nuove tecnologie in tema di informatica e telecomunicazioni • La nascente direzione digitale avrà un mandato molto ampio, non solo potrà escogitare sistemi per sottrarre informazioni da dispositivi mobili, ma aiuterà gli agenti della CIA a eludere il proprio rilevamento all’estero, in un’epoca in cui telefoni, computer e bancomat “lasciano tracce digitali”. hMp://www.washingtonpost.com/poliBcs/federal_government/cia-‐director-‐announces-‐sweeping-‐ reorganizaBon-‐of-‐spy-‐agency/2015/03/06/92a3710a-‐c480-‐11e4-‐a188-‐8e4971d37a8d_story.html
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy NSA – The Great SIM Heist • Febbraio 2015 – Viene alla luce un’operazione di hacking condotta da NSA e GCHQ, descritta in un documento del 2010, che avrebbe colpito il sistema informatico di Gemalto, principale produttore mondiale di SIM Card GSM • Sarebbero state ottenute le chiavi Ki e Kc di miliardi di SIM, CARD distribuite a circa 450 Operatori di telefonia mobile in tutto il mondo. Gemalto, che nega l’accaduto, produce 2 miliardi di SIM all’anno. • Le chiavi Ki e Kc sono contenute fisicamente nelle SIM, chi entra in possesso di queste chiavi può accedere / decrittare tutte le rispettive comunicazioni GSM e DATI, senza chiedere alcun permesso, anche quelle già intercettate in passato. hMps://firstlook.org/theintercept/2015/02/19/great-‐sim-‐heist/
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Equation Group -- Firmware attack • Il più inafferrabile e tecnicamente avanzato gruppo Hacker di sempre è chiamato Equation Group. • I malware diffusi da equation group sono tra i più avanzati al mondo, in quanto arrivano a livello del firmware dei dispositivi aggrediti. Tali malware si comportano come veri e propri sistemi operativi con tanto di kernel, moduli, plugin, user space … • EquationDrug – HDD Firmware reprogramming – Riprogramma il firmware degli hard disk dei principali produttori, sfruttando vulnerabilità 0 Day, prende il controllo del disco e può creare storage nascosto e protetto • Karspersky Lab ha scoperto numerosi elementi che legherebbero a doppio filo NSA con tale gruppo hacker hMps://securelist.com/files/2015/02/EquaBon_group_quesBons_and_answers.pdf hMp://arstechnica.com/security/2015/03/new-‐smoking-‐gun-‐further-‐Bes-‐nsa-‐to-‐omnipotent-‐equaBon-‐group-‐hackers/
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy CryptoLocker • Cryptolocker è un ransomware che viene rilevato a settembre del 2013 • Colpisce tutte le versioni di windows • Il suo obbiettivo è quello di cifrare certi tipi di file con un mix di algoritmi di cifratura AES e RSA • Di norma, non appena cifrati i file, Cryptolocker presenta una form in cui si chiede il pagamento di una somma per ottenere la decrittazione dei file, e presenta un conto alla rovescia normalmente di 72 ore.
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy CryptoLocker • Il vettore di infezione per questo tipo di malware è la email con allegato. • Nella email, che risulta provenire da una fonte affidabile, si chiede scaricare ed eseguire l’allegato. • ELIMINARE tutte le email di provenienza non certa • Tenere backup offline dei propri dati • Nelle ultime varianti, oltre a cifrare i file, viene modificato il registry affinchè all’esecuzione di qualsiasi EXE, viene lanciato questo comando: "C:\Windows\SYsWOW64\cmd.exe" /C "C:\Windows\SysnaLve\vssadmin.exe" Delete Shadows / All /Quiet E le shadow copy vengono distru,e
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Caso Lenovo - Superfish • Febbraio 2015 – Viene pubblicata la notizia che Lenovo, uno dei principali produttori di PC al mondo, preninstalla un malware sui suoi portatili di recente produzione. Possibile? • Sì. Lenovo conferma e si scusa, ma il danno è fatto. • Superfish è un software con il compito di iniettare pubblicità nei siti web visitati dagli utenti • Installa falsi certificati con password conosciute, che permettono a un attaccante di rilevare i contenuti di connessioni cifrate. • Con falsi certificati anche siti malevoli appaiono come affidabili • Lenovo ha ammesso di aver preinstallato tale software su parte dei suoi PC tra settembre 2014 e gennaio 2015 hMp://www.zeusnews.it/n.php?c=22490
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Casi reali Svezia – Le comunicazioni di un centinaio di esperti di sicurezza informatica, politici, militari e giornalisti, sono state intercettate in quanto collegati senza cautela a una rete WiFi creata ad-hoc da un rappresentante del locale Partito Pirata. hMp://www.tomshw.it/cont/news/esperB-‐di-‐sicurezza-‐it-‐gabbaB-‐da-‐una-‐rete-‐non-‐proteMa/61853/1.html Italia - Hacker e "maghi" della Finanza, 17 arresti. Mega truffa per salvare il Parma Calcio - hacker, accedevano abusivamente a piaMaforme informaBche di primari isBtuB bancari e soMraevano somme di denaro - Invio del denaro a conti intestati a enti di beneficienza - Passaggio del denaro sui conti del Parma calcio a titolo di donazione on-line hMp://www.affaritaliani.it/roma/hacker-‐e-‐maghi-‐della-‐finanza-‐17-‐arresB-‐mega-‐truffa-‐per-‐salvare-‐il-‐parma-‐calcio-‐18032015.html
Lugano – 24 marzo 2015 Attacco ai dati e alla privacy Grazie LGT Luigi Ranzato -‐ luigi.ranzato@gmail.com
Puoi anche leggere