Attacco ai dati e alla privacy La fibra ottica come nuovo campo di battaglia - Lugano - 24 marzo 2015
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
La fibra ottica come nuovo campo di battaglia
LGT
Luigi
Ranzato
-‐
luigi.ranzato@gmail.com
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Caso reale:
- Una piccola azienda subisce un attacco informatico
ad uno dei sui router ISDN.
- L’attacker ha preso il controllo del dispositivo ed ha
modificato a suo piacimento determinati parametri
per fare chiamate su numeri internazionali a
tariffazione elevata.
- L’azienda ha subito un discreto danno economico
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Caso reale:
- L’attacker ha lasciato una traccia …. l’IP
- Gli inquirenti hanno potuto risalire a un luogo fisico
localizzato in Romania
- Passati circa due mesi (rogatoria internazionale),
gli inquirenti hanno fatto irruzione con le forze
speciali nel “covo” dell’attacker ….
- Risultato?
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Caso reale:
- Str umenti inadeguati (PC
windows xp, …. )
- Strumenti di hacking banali
per scanning automatizzato di
centralini, e dizionari di pw
scaricabili dalla rete
- Email e web page di phishing
già pronte all’uso
- Elenchi lunghissimi di IP con
servizi vulnerabili
- Bassissimo skill
- Numerose vittime in molti
stati Europei e non..
- Fibra ottica!
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Lesson learned:
-‐ Non
serve
un
grande
esperto
di
informaBca
per
provocare
danni
consistenB
-‐ L’hacker
che
è
stato
individuato
è
solo
un
componente
“sBpendiato”
di
un
gruppo
criminale.
(manovalanza
di
basso
livello)
-‐ Se
un
solo
soggeMo
con
scarse
competenze
ha
provocato
consistenB
danni
economici,
cosa
possono
fare
i
grandi
gruppi
criminali?
-‐ Chi
sono
gli
odierni
aMori
?
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Tipologie degli attaccanti :
-‐ SoggeQ
che
appartentono
a
organizzazioni
criminali
-‐ Spionaggio
industriale
-‐ Insider
-‐ AQvisB
o
HackBvisB
(Lizard
squad,
Anonymous,
…
)
-‐ Wannabe,
lamer
script
kiddie
Ma
l’elenco
non
è
completo
…
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Report Verizon – 2014 – www.verizon.com
• DBIR – Data Breach Investigation Report
• Analisi dettagliata di circa 10 anni di dati relativi
agli incidenti gestiti da Verizon e da altri 50
partners, circa 100.000.
• La moltitudine di incidenti può essere ricondotta
a sole 9 macro categorie
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Tipologie degli attacchi :
- da report Verizon DBIR 2014 - www.verizon.com
Sole 9 macro categorie
- DOS Attack
- Crimware
- Web App Attack
- Cyber espionage
- POS intrusion
- Payment card
- Skimmer
- Phisical theft and loss
- Miscellaneous errors
- Insider misuseLugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Confronto sull’incidenza degli attacchi :
- da report Verizon DBIR 2014 - www.verizon.comLugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Tipologie degli attacchi :
- da report Verizon DBIR 2014 - www.verizon.com
La
vi&ma
Potreste
essere
voi.
Il
rischio
di
restare
viQma
di
un
incidente
di
sicurezza
accumuna
imprese
grandi
e
piccole
e
tuQ
i
seMori
produQvi.
L’obie&vo
I
cyber
criminali
mirano
essenzialmente
a
daB
bancari
e
di
pagamento
che
possono
facilmente
converBre
in
denaro.
Anche
le
credenziali
utente
sono
un
obieQvo
appeBbile
…
ZEUS,
CITADEL
…
L’a,acco
Hacking
e
malware
sono
le
forme
di
aMacco
più
frequenB,
server
e
disposiBvi
utente
(es.
PC)
gli
obieQvi
principali
…..
La
caccia
I
cyber
criminali
sono
diventaB
più
veloci
nel
violare
i
sistemi.
Anche
le
viQme
sono
diventate
più
rapide,
tuMavia
conBnuano
a
perdere
terreno
….
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Report Verizon – DBIR 2014 – www.verizon.com
I
criminali
stanno
diventando
più
abili
e
veloci
e
stanno
distanziando
le
viQme
nella
capacità
di
affrontare
le
minacce
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Siamo parte, piu o meno consapevole,
di una guerra asimmetrica:
Definizione
Darpa:
“la
guerra
asimmetrica
è
caraMerizzata
da
azioni
con
pochi
obieQvi
di
difficile
individuazione,
condoMe
con
mezzi
che,
se
paragonaB
agli
effeQ
finali
delle
operazioni,
appaiono
estremamente
limitaB.”
I contendenti “deboli” vogliono parte delle risorse dei nostri
sistemi (CPU, banda, IP …) per sferrare attacchi di grande
portata.
Tante piccole goccie creano un fiume (DDOS)Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Somewhere
deep
inside
North
Korea
is
a
cell
of
sophisBcated
cyber
warriors
known
as
Bureau
121.
A
North
Korean
defector,
Jang
Se-‐yul,
recently
told
Reuters
that
Bureau
121
consists
of
roughly
1,800
hackers,
who
live
a
relaBvely
pampered
life
as
elites
in
the
country's
military
Some
invesBgators
believe
this
group,
or
something
like
it,
commiMed
the
damaging
hack
against
Sony
Pictures,
a
revenge
scheme
for
the
studio’s
upcoming
release
enBtled
“The
Interview”
….
hMp://www.washingtonpost.com/blogs/the-‐switch/wp/2014/12/08/why-‐cyber-‐armies-‐are-‐a-‐good-‐investment-‐for-‐countries-‐like-‐north-‐korea/
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
”….
Cyber
warfare
is
an
important
asymmetric
dimension
of
conflict
that
North
Korea
will
probably
conBnue
to
emphasize—
in
part
because
of
its
deniability
and
low
relaBve
costs,"
ScaparroQ
tesBfied.
Because
determining
the
origins
of
a
cyber
a,ack
can
be
incredibly
difficult,
making
it
easier
for
aMackers
to
deny
responsibility.
"
….
an
Hewle,-‐Packard
Security
Briefing
from
earlier
this
year
said.
"North
Korea’s
hermit
infrastructure
creates
a
cyber-‐terrain
that
deters
reconnaissance.
Because
North
Korea
has
few
Internet
connecBons
to
the
outside
world,
anyone
seeking
intelligence
on
North
Korea’s
networks
has
to
expend
more
resources
for
cyber
reconnaissance."
hMp://www.washingtonpost.com/blogs/the-‐switch/wp/2014/12/08/why-‐cyber-‐armies-‐are-‐a-‐good-‐investment-‐for-‐countries-‐like-‐north-‐korea/
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
….
But
cyber-‐sleuths
unaffiliated
with
the
U.S.
government,
who
are
conducBng
their
own
invesBgaBons,
have
uncovered
some
clues
that
suggest
there
was
more
to
the
aMack.
A
group
of
"hackLvists"
who
have
been
targeBng
Sony
for
years,
including
in
the
2011
aMack
that
took
down
the
PlayStaBon
Network,
may
have
also
played
a
role….
Lizard
Squad
posted
to
a
now-‐suspended
TwiMer
account,
saying
it's
"working
together
with
#GoP
on
a
Christmas
project."
The
connecBons
suggest
that
North
Korea
and
hackLvist
groups
could
have
worked
together
on
different
parts
of
the
Sony
Pictures
breach,
or
there
may
have
been
overlapping
aMacks,
says
Dan
Clements,
president
of
IntelCrawler
hMp://www.bloomberg.com/news/arBcles/2014-‐12-‐23/north-‐korea-‐may-‐have-‐had-‐help-‐from-‐the-‐hackers-‐who-‐hit-‐sony-‐in-‐2011
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Perchè preoccuparci per questo tipo di notizie?
• Questi attivisti da dove prendono le risorse necessarie ai loro
azioni dimostrative?
• Per effettuare un attacco DDOS a Sony o altri grandi nomi servono
grandi risorse in termini di HW, SW e banda.
• La rete internet viene scansionata regolarmente alla ricerca di
risorse vulnerabili, come router casalinghi, PC, dispositivi mobili
• Molti dei nostri dispositivi vengono usati, o lo sono stati, in
attacchi informatici di grande portata
• Cambiate le password di default, e non utilizzate sempre le stesseLugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Lizard Group mette a disposizione lo Stresser
• Stresser è un servizio a pagamento che da la possibilità a chiunque di
verificare se una certa risorsa è online – DDOS?
• Il servizio va a “drenare” banda passante da home router poco protetti.
hMp://krebsonsecurity.com/
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
iOS e Android
• Sempre più spesso affidiamo ai dispositivi mobili
attività importanti, come acquisti online e gestione
home banking
• Quale grado di affidabilità e sicurezza possiamo
attribuire a questi dispositivi?
• Avete effettuato operazioni di rooting o jailbreack?Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
iOS e Android
Cache e temp file
Attacchi run-time post esecuzione
h,p://www.iks.it/security-‐report-‐app-‐mobile-‐2014.html
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Relazione 2014 – Presidenza del Consiglio dei Ministri
• Relazione sulla politica dell’informazione per la
sicurezza
• Minaccia proveniente dalla Jihad globale e
regionale
• Minacce all’economia
• Minaccia nel cyberspazio
• Aumentata attenzione cyberspazio per garantire
crescita economicaLugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Relazione 2014 – Presidenza del Consiglio dei Ministri
• Contrasto alle attività di cyber spionaggio
finalizzate all’acquisizione illegale di Know How e
raggiungimento delle informazioni necessarie per
l’acquisizione di pacchetti azionari
• Contrasto alle attività degli hacktivisti a protezione
di target Istituzionali."Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Relazione 2014 – Presidenza del Consiglio dei Ministri
• Si rileva l’utilizzo del cyber spazio in contesti di confrono
militare
• Gli attacchi cibernetici sono armi complementari in guerre
“ibride” molto sofisticate e complesse
• Nascita di una dimensione digitale della geopolitica
caratterizzata da confini “liquidi”
• Il cyberspace come terreno di scontro per attuali e futuri
conflitti
• Es.. Impiego di stuxnet (2010) per rallentare il programma
nucleare IranianoLugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Relazione 2014 – Presidenza del Consiglio dei Ministri
• Crescono le organizzazioni criminali che arruolano hacker con
vaste conoscenze
• Cresce un mercato nero del cyber crime dove è possibile
acquistare gli strumenti necessari per la commissione di
illeciti …. (malware, ransomware …). Anche soggetti con
scarse conoscenze possono realizzare attacchi molto sofisticati
• Trojan e ransomware vengono creati anche solo per essere
venduti sul mercato nero
• Finalità principale dei malware è quella di recuperare
credenziali di accesso a servizi bancari onlineLugano
–
24
marzo
2015
Attacco ai dati e alla privacy
STUXNET
Stuxnet
è
un
virus
informaBco
creato
e
appositamente
diffuso
dal
governo
USA
(nell'ambito
dell'operazione
"Giochi
Olimpici"
iniziata
da
Bush
nel
2006
e
che
consisteva
in
un
"ondata"
di
"aMacchi
digitali"
contro
l'Iran)
in
collaborazione
col
governo
Israeliano
nella
centrale
nucleare
iraniana
di
Natanz,
allo
scopo
di
sabotare
la
centrifuga
della
centrale
tramite
l'esecuzione
di
specifici
comandi
da
inviarsi
all'hardware
di
controllo
industriale
responsabile
della
velocità
di
rotazione
delle
turbine
allo
scopo
di
danneggiarle.
Nel
luglio
2013
Edward
Snowden
ha
confermato
che
Stuxnet
è
stato
progeMato
dalla
NSA
con
la
collaborazione
dell'
"intelligence"
israeliana,
tramite
un
corpo
speciale
noto
come
Foreign
Affairs
Directorate
(FAD).
hMp://it.wikipedia.org/wiki/Stuxnet
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
CIA – Riorganizzazione in chiave cyber-spy
• Il direttore della CIA ha annunciato (marzo 2015) una profonda
riorganizzazione la fine di divisioni in vigore da decenni e la
creazione di 10 nuovi centri specializzati in spionaggio industriale
• Sarà creata anche una divisione con focus sullo sfruttamento delle
nuove tecnologie in tema di informatica e telecomunicazioni
• La nascente direzione digitale avrà un mandato molto ampio, non
solo potrà escogitare sistemi per sottrarre informazioni da
dispositivi mobili, ma aiuterà gli agenti della CIA a eludere il
proprio rilevamento all’estero, in un’epoca in cui telefoni,
computer e bancomat “lasciano tracce digitali”.
hMp://www.washingtonpost.com/poliBcs/federal_government/cia-‐director-‐announces-‐sweeping-‐
reorganizaBon-‐of-‐spy-‐agency/2015/03/06/92a3710a-‐c480-‐11e4-‐a188-‐8e4971d37a8d_story.html
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
NSA – The Great SIM Heist
• Febbraio 2015 – Viene alla luce un’operazione di hacking condotta
da NSA e GCHQ, descritta in un documento del 2010, che avrebbe
colpito il sistema informatico di Gemalto, principale produttore
mondiale di SIM Card GSM
• Sarebbero state ottenute le chiavi Ki e Kc di miliardi di SIM, CARD
distribuite a circa 450 Operatori di telefonia mobile in tutto il
mondo. Gemalto, che nega l’accaduto, produce 2 miliardi di SIM
all’anno.
• Le chiavi Ki e Kc sono contenute fisicamente nelle SIM, chi entra
in possesso di queste chiavi può accedere / decrittare tutte le
rispettive comunicazioni GSM e DATI, senza chiedere alcun
permesso, anche quelle già intercettate in passato.
hMps://firstlook.org/theintercept/2015/02/19/great-‐sim-‐heist/
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Equation Group -- Firmware attack
• Il più inafferrabile e tecnicamente avanzato gruppo Hacker di
sempre è chiamato Equation Group.
• I malware diffusi da equation group sono tra i più avanzati al
mondo, in quanto arrivano a livello del firmware dei dispositivi
aggrediti. Tali malware si comportano come veri e propri sistemi
operativi con tanto di kernel, moduli, plugin, user space …
• EquationDrug – HDD Firmware reprogramming – Riprogramma
il firmware degli hard disk dei principali produttori, sfruttando
vulnerabilità 0 Day, prende il controllo del disco e può creare
storage nascosto e protetto
• Karspersky Lab ha scoperto numerosi elementi che legherebbero a
doppio filo NSA con tale gruppo hacker
hMps://securelist.com/files/2015/02/EquaBon_group_quesBons_and_answers.pdf
hMp://arstechnica.com/security/2015/03/new-‐smoking-‐gun-‐further-‐Bes-‐nsa-‐to-‐omnipotent-‐equaBon-‐group-‐hackers/
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
CryptoLocker
• Cryptolocker è un ransomware che
viene rilevato a settembre del 2013
• Colpisce tutte le versioni di windows
• Il suo obbiettivo è quello di cifrare
certi tipi di file con un mix di algoritmi
di cifratura AES e RSA
• Di norma, non appena cifrati i file, Cryptolocker presenta una form
in cui si chiede il pagamento di una somma per ottenere la
decrittazione dei file, e presenta un conto alla rovescia
normalmente di 72 ore.Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
CryptoLocker
• Il vettore di infezione per questo tipo
di malware è la email con allegato.
• Nella email, che risulta provenire da
una fonte affidabile, si chiede scaricare
ed eseguire l’allegato.
• ELIMINARE tutte le email di
provenienza non certa
• Tenere backup offline dei propri dati
• Nelle ultime varianti, oltre a cifrare i file, viene modificato il
registry affinchè all’esecuzione di qualsiasi EXE, viene lanciato
questo comando:
"C:\Windows\SYsWOW64\cmd.exe"
/C
"C:\Windows\SysnaLve\vssadmin.exe"
Delete
Shadows
/
All
/Quiet
E
le
shadow
copy
vengono
distru,e
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Caso Lenovo - Superfish
• Febbraio 2015 – Viene pubblicata la notizia che Lenovo, uno dei
principali produttori di PC al mondo, preninstalla un malware sui
suoi portatili di recente produzione. Possibile?
• Sì. Lenovo conferma e si scusa, ma il danno è fatto.
• Superfish è un software con il compito di iniettare pubblicità nei
siti web visitati dagli utenti
• Installa falsi certificati con password conosciute, che permettono a
un attaccante di rilevare i contenuti di connessioni cifrate.
• Con falsi certificati anche siti malevoli appaiono come affidabili
• Lenovo ha ammesso di aver preinstallato tale software su parte
dei suoi PC tra settembre 2014 e gennaio 2015
hMp://www.zeusnews.it/n.php?c=22490
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Casi reali
Svezia – Le comunicazioni di un centinaio di esperti di sicurezza
informatica, politici, militari e giornalisti, sono state
intercettate in quanto collegati senza cautela a una rete WiFi
creata ad-hoc da un rappresentante del locale Partito Pirata.
hMp://www.tomshw.it/cont/news/esperB-‐di-‐sicurezza-‐it-‐gabbaB-‐da-‐una-‐rete-‐non-‐proteMa/61853/1.html
Italia - Hacker e "maghi" della Finanza, 17 arresti. Mega truffa per
salvare il Parma Calcio
- hacker,
accedevano
abusivamente
a
piaMaforme
informaBche
di
primari
isBtuB
bancari
e
soMraevano
somme
di
denaro
- Invio del denaro a conti intestati a enti di beneficienza
- Passaggio del denaro sui conti del Parma calcio a titolo di
donazione on-line
hMp://www.affaritaliani.it/roma/hacker-‐e-‐maghi-‐della-‐finanza-‐17-‐arresB-‐mega-‐truffa-‐per-‐salvare-‐il-‐parma-‐calcio-‐18032015.html
Lugano
–
24
marzo
2015
Attacco ai dati e alla privacy
Grazie
LGT
Luigi
Ranzato
-‐
luigi.ranzato@gmail.com
Puoi anche leggere
