The Hacker's Corner. Attacchi informatici...un po di chiarezza. International Journalism Festival Perugia - 26 Aprile 2013

Transcript

1 The Hacker's Corner International Journalism Festival Perugia - 26 Aprile 2013 Attacchi informatici....un po di chiarezza Attacchi mirati, attacchi generici, Advanced Persistent Threat.. Qual è lo stato dell arte negli attacchi informatici? Quali sono i nuovi trend (e quali quelli vecchi ma sempre validi)? IgorAttacchi Falcomatà <koba@sikurezza.org> informatici, un po di chiarezza The Hacker s Corner - International Journalism Festival Perugia Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 1

2 about: aka koba attività professionale: penetration testing security consulting formazione Igor Falcomatà Chief Technical Officer altro: sikurezza.org (Er bz f)lug Igor Falcomatà alcuni diritti riservati: - Pagina 2

3 As seen on TV!! (o almeno su Internet..) Igor Falcomatà alcuni diritti riservati: - Pagina 3

4 Chi? Cosa? Quando? Dove? Perché? (o almeno Come?) Igor Falcomatà alcuni diritti riservati: - Pagina 4

5 Attacchi informatici.. (stiamo parlando di) metodi attivi o passivi per abusare danneggiare / accedere / intercettare / modificare / contraffare /.. illegalmente / non autorizzati apparecchiature / sistemi / reti dati altrui Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 5

6 Attacchi informatici.. (non stiamo parlando di) privacy / tracking /.. OSINT (Open Source Intelligence) pirateria (diritti, copyright, DRM,..) contestazione / parodia netstrike diffamazione penetration testing & co. Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 6

7 Chi? (e chi li spinge? Spingitori di attacker!) Curiosi / Ragazzini /.. Hacktivisti (Anonymous,..) Piccola Criminalità (cani sciolti, truffatori,..) Criminalità organizzata (RBN,..) Investigazioni private / raccolta informazioni Concorrenti / Spioni industriali Law Enforcement Governi / Servizi Segreti / Intelligence Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 7

8 Chi? (e chi li spinge? Spingitori di attacker!) Igor Falcomatà alcuni diritti riservati: - Pagina 8

9 Cosa? (Long long time ago.. in a galaxy.. ehm.. B.I.) phreaking social engineering (telefono, persona) malware (virus, trojan) X25 / itapac / videotel RAS / BBS / green Layer 1 (Physical) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 9

10 Layer 1? Layer 0? Igor Falcomatà alcuni diritti riservati: - Pagina 10

11 Cosa? (Long time ago.. attacchi 1.0) social engineering (mail) malware (worm, dialer) attacchi client/server siamo tutti amici no firewall, mom! Kevin Mitnick anyone? DOS (Denial of Service) Igor Falcomatà alcuni diritti riservati: - Pagina 11

12 0wn1ng the Enterprise 1.0 in una Internet remota, molti anni fa.. web server mail server db server ext. router file server terminale wan router terminale Igor Falcomatà alcuni diritti riservati: - Pagina 12

13 Discovery... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà alcuni diritti riservati: - Pagina 13

14 Discovery... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà alcuni diritti riservati: - Pagina 14

15 Discovery... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà alcuni diritti riservati: - Pagina 15

16 Exploiting... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà alcuni diritti riservati: - Pagina 16

17 Exploiting... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà alcuni diritti riservati: - Pagina 17

18 Cosa? (Some time ago.. attacchi 1.5) social engineering malware (fake web / phishing) spyware keylogger bank-aware applicazioni web wireless (wardriving, no encryption, WEP,..) DDOS (Distributed Denial of Service) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 18

19 0wn1ng the Enterprise 1.5 web applications, WiFi, VPNs,... web server mail server db server ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 19

20 0wn1ng the Enterprise 1.5 web applications, WiFi, VPNs,... web server mail server db server ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 20

21 Discovery... 0wn1ng the Enterprise 1.5 web server mail server db server Mr. Malicious 1.5 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 21

22 Discovery... 0wn1ng the Enterprise 1.5 web server mail server db server Mr. Malicious 1.5 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 22

23 Exploiting... 0wn1ng the Enterprise web server mail server db server Mr. Malicious 1.5 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 23

24 Exploiting... 0wn1ng the Enterprise web server mail server db server Mr. Malicious 1.5 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 24

25 Cosa? (Now.. attacchi 2.0..) social engineering social network / messenger client-side attack Cross Site Scripting & Co. exploit applicazioni client -> LAN mobile cloud lifestyle (Single Sign Own) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 25

26 0wn1ng the Enterprise 2.0 see mom.. no direct traffic.. web server mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 26

27 Discovery... 0wn1ng the Enterprise 2.0 web server mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 27

28 Discovery... 0wn1ng the Enterprise 2.0 web server mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 28

29 Exploiting... 0wn1ng the Enterprise 2.0 web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 29

30 Exploiting... 0wn1ng the Enterprise 2.0 web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 30

31 Social engineering 2.0 img src: 3rd party Mr. Malicious 2.0 vittima Hey, sono Bill, il collega di Canicattì... ti ricordi? Hey Bill.. come va? sei ancora al marketing?... Igor Falcomatà alcuni diritti riservati: - Pagina 31

32 Phishing...non solo verso siti di banking 3rd party Mr. Malicious 2.0 vittima Igor Falcomatà alcuni diritti riservati: - Pagina 32

33 Tinyurl & co....come offuscare un link con un semplice click 3rd party Mr. Malicious 2.0 vittima Igor Falcomatà alcuni diritti riservati: - Pagina 33

34 One-Click-Exploit (sperando che Ama*on non reclami i diritti) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 34

35 Just click to launch....the good ole Internet Exploder.. (Click) Igor Falcomatà alcuni diritti riservati: - Pagina 35

36 Meanwhile, back at the ranch....a cowboy sitting in the dark.. Igor Falcomatà alcuni diritti riservati: - Pagina 36

37 Game Over thnxs/credits: unknow Igor Falcomatà alcuni diritti riservati: - Pagina 37

38 Command & Conquer Welcome, master! web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 38

39 Cosa? (.. e oltre) malware targetted spyware SCADA (Stuxnet,..) mobile mass exploiter VoIP phreaking SCADA (Smart cities, Internet of things,..) (ho già detto?) mobile Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 39

40 One-Click-Mobile-Exploit (saltiamo la parte di click ) web server 3 party rd Mr. MobileMalicious app backend db server ext. router file server firewall access point 3G user hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 40 BY0D user

41 One-Click-Mobile-Exploit (saltiamo la parte di click ) 3 party rd Mr. MobileMalicious web server app backend db server vettori: chat file server link su social network dep. /server firewall MiTM / dns spoofing.. ext. router 3G user hot-spot user access point exploit: sito -> malicious app (pwned) -> BY0D user kernel (pwned) -> r00t!! servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 41

42 Telefono.. casa.. (intercettazione, posizione, posta, SN, $$,..) web server 3 party rd Mr. MobileMalicious app backend db server ext. router file server firewall access point 3G user hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 42 BY0D user

43 Rogue App Igor Falcomatà alcuni diritti riservati: - Pagina 43

44 Trojan App applicazione innocente pubblicata sul market call home scarica malicious payload lo esegue run-time Igor Falcomatà alcuni diritti riservati: - Pagina 44

45 Quando? (Anytime 24/7) sempre mass exploiting malware mobile / home users APT / covert channel dal venerdì alle al lunedì alle attacchi mirati Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 45

46 Dove? (This is the net, baby) Internet Hot Spot / Rogue AP LAN Internet -> client side attack -> LAN mobile -> OOB -> LAN malware nella tua tasca.. altro (RAS, X25, VPN,..) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 46

47 Un esempio a caso.. Hot-Spot Wifi web server app backend db server ext. router file server firewall access point hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 47 BY0D user

48 Hot-Spot Wifi (state usando lo smartphone invece di seguire..?) web server app backend db server ext. router file server firewall access point hot-spot user servizi in cloud Igor Falcomatà alcuni diritti riservati: - Pagina 48 BY0D user

49 Hot-Spot Wifi (state usando lo smartphone invece di seguire..?) web server app backend db server ext. router Mr. WifiMiTM file server firewall access point hot-spot user servizi in cloud Igor Falcomatà alcuni diritti riservati: - Pagina 49 BY0D user

50 MiTM (arp poisoning, DHCP stealing, rogue AP,..) web server app backend db server ext. router Mr. WifiMiTM file server firewall access point hot-spot user servizi in cloud Igor Falcomatà alcuni diritti riservati: - Pagina 50 BY0D user

51 Sì, ma io uso HTTPS... (e i certificati? chi pensa ai certificati?) web server app backend db server ext. router Mr. WifiMiTM file server firewall access point hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 51 BY0D user

52 Game Over. (e non dimentichiamoci delle app..) web server app backend db server ext. router Mr. WifiMiTM file server firewall access point hot-spot user servizi in cloud Igor Falcomatà alcuni diritti riservati: - Pagina 52 BY0D user

53 Perché? (mass exploiting, malware,..) fama / vandalismo / bullismo zombie / botnet spam / phishing anonimizzazione / bouncing DDOS distributed computing (bitcoin mining,..) furto identità / credenziali / dati privati soldi (home banking, dialer, ricatto,..) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 53

54 Perché? (mass exploiting, malware,..) fama / vandalismo / bullismo zombie / botnet spam / phishing anonimizzazione / bouncing DDOS distributed computing (bitcoin mining,..) Follow the money! furto identità / credenziali / dati privati soldi (home banking, dialer, ricatto,..) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 54

55 Perché? (attacchi mirati) privati bullismo / mobbing / voyeurismo /.. rivalsa / ricatto /.. hacktivism *leaks defacement protesta (DDOS,..) law enforcement Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 55

56 Perché? (attacchi mirati) aziende investigazioni / HR spionaggio industriale concorrenza sleale (DDOS,..) governi / servizi spionaggio & co. repressione / controllo / intelligence cyberwar Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 56

57 Command & Conquer web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà alcuni diritti riservati: - Pagina 57

58 APT? (Advanced Persistent Che?) Igor Falcomatà alcuni diritti riservati: - Pagina 58

59 The Hacker's Corner International Journalism Festival Perugia - 26 Aprile 2013 Attacchi informatici....un po di chiarezza Attacchi mirati, attacchi generici, Advanced Persistent Threat.. Domande? Qual è lo stato dell arte negli attacchi informatici? Risposte? Quali sono i nuovi trend (e quali (grazie) quelli vecchi ma sempre validi)? IgorAttacchi Falcomatà <koba@sikurezza.org> informatici, un po di chiarezza The Hacker s Corner - International Journalism Festival Perugia Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: - Pagina 59