Internet e le minacce provenienti dal cyber-spazio: i nostri dati sono davvero al sicuro? Corato, 8 gennaio 2013 Danilo De Rogatis

Transcript

1 Corato, 8 gennaio 2013

2 Disclaimer Le informazioni contenute in questa presentazione non infrangono alcuna proprietà intellettuale e non contengono strumenti o istruzioni che potrebbero essere in contrasto con la normativa vigente. I marchi citati e registrati appartengono ai rispettivi proprietari. Le opinioni espresse sono esclusivamente quelle dell'autore. 2

3 # whoami (pagina dei bollini ) Laurea in Informatica e Master in Sicurezza Informatica ed Investigazioni Digitali Responsabile Area Sistemi Informativi ed Innovazione Tecnologica dell Università di Foggia OPST: OSSTMM Professional Security Tester Certified IT & Security Consultant (G8 Summit 2009, ADISU Puglia, Tamma, etc.) Docente in corsi di sicurezza informatica Cultore della materia per il corso di Informatica Generale (INF/01) presso l'università degli Studi di Foggia. Security Evangelist & Independent Researcher Autore di articoli sulla Sicurezza Informatica per HTML.IT: IEEE Senior Member, IEEE Computer Society Member, Clusit Member (in progress). 3

4 Obiettivi del seminario Fornirvi una serie di informazioni non convenzionali sul mondo dell'hacking, del Cybercrime e dell'information Security. Accrescere la vostra consapevolezza in merito a tematiche di Sicurezza Informatica. Fornirvi, per quanto possibile, alcune contromisure per non cadere vittime dei cybercriminali Annoiarvi a morte ^_^ 4

5 Agenda Cybercrime: lo scenario attuale Rischi e minacce Possibili contromisure 5

6 Agenda Cybercrime: lo scenario attuale Rischi e minacce Possibili contromisure 6

7 C'è una guerra là fuori... C'è una guerra là fuori, amico mio. Una guerra mondiale. E non ha la minima importanza chi ha più pallottole, ha importanza chi controlla le informazioni. Ciò che si vede, si sente, come lavoriamo, cosa pensiamo, si basa tutto sull'informazione! 7

8 Cos'è il cyber-crime? Un crimine come tutti gli altri, ma con l'aggiunta della componente informatica, che può essere il mezzo e/o il fine del crimine. 8

9 I numeri del Cybercrime Il Global Risks Report 2012 del World Economic Forum, analizzando le 50 principali minacce globali dei prossimi 10 anni e classificandole per impatto e probabilità, nella sezione Rischi tecnologici pone al primo posto il cyber-crime. Il cyber-crime movimenta ormai più denaro del traffico di droga. I ricavi diretti, a livello mondiale, del computer crime market ovviamente stimati, dato che il crimine organizzato non tiene una contabilità ufficiale! variano tra i 7 ed i miliardi di dollari all anno. I costi diretti e indiretti per governi, industrie, aziende e privati cittadini si aggirano intorno ai 110 miliardi di dollari all'anno. Il valore (medio) di mercato per uno 0-day (cioè una vulnerabilità non pubblica o sconosciuta): tra i ed i euro. Fonti: Rapporto Clusit 2012, 2012 Norton Cybercrime Report 9

10 Alcuni casi emblematici: Sony 10

11 Alcuni casi emblematici: Sony Periodo: aprile ottobre 2011 Tipologia di attacchi: DDoS, SQLi, Social Engineering, Hacking. Attaccanti: Hacktivisti (Anonymous, LulzSec), Lone hackers, ignoti. Oltre 100 milioni di profili completi degli utenti sottratti dal Network di videogiocatori e dalla piattaforma di Online Entertainment Interruzione dei propri servizi di gioco online (utilizzati da 77 milioni di utenti) per ben 24 giorni Perdite finanziare dirette e risarcimenti: 122 milioni di dollari - 30% della sua capitalizzazione in borsa Fonte: Rapporto Clusit

12 Alcuni casi emblematici: HBGary Federal Periodo: febbraio 2011 Tipologia di attacchi: SQLi, Social Engineering, Hacking. Attaccanti: Hacktivisti (Anonymous) Anonymous viola l'account Twitter del CEO dell'azienda, che aveva annunciato di aver infiltrato con successo il gruppo Anonymous stesso: vengono pubblicati online indirizzo, numero di telefono, SSN. Vengono violate le difese della rete aziendale e pubblicate circa 68 mila riservate della società (tra le quali molte estremamente imbarazzanti...), cancellando file di backup e disattivando il sistema telefonico interno. Le password degli account compromessi sono risultate palesemente inadeguate (e ripetute su più sistemi), soprattutto per un'azienda che si occupa di sicurezza per Enti Governativi degli Stati Uniti. Neanche a dirlo, in conseguenza dell attacco il CEO è stato indotto a dimettersi (e successivamente, sempre per guai con Anonymous, ha perso anche il successivo lavoro. Fonte: Rapporto Clusit

13 Alcuni casi emblematici: banche 13

14 Alcuni casi emblematici: banche Periodo: giugno 2011 Tipologia di attacchi: Exploit, RAT, furto tramite ATM Attaccanti: ignoti cybercriminali Furto di oltre profili utente contenenti informazioni personali e finanziarie. L'Istituto è costretto a riemettere centinaia di migliaia di carte di credito ed a sostenere notevoli spese di notifica e di aggiornamento dei propri sistemi. Perdite finanziarie enormi Gigantesco danno di immagine Fonte: Rapporto Clusit

15 I principali target 15

16 Le tecniche di attacco più usate 16

17 I più cattivi 17

18 E in Italia? 18

19 E in Italia? DDoS contro Repubblica.it 19

20 E in Italia? I target 20

21 Cybercrime: perchè? Le motivazioni sono fin troppo chiare... :-) Oggi come non mai è più semplice sottrarre denaro ed esistono molti modi per farlo. Il mondo è pieno di utenti con poca esperienza e, soprattutto, poca consapevolezza dei rischi. 21

22 Underground economy: un vero e proprio modello di business Sviluppatori - Sviluppano malware - Costruiscono botnet - Azioni di hacking Criminali - Rubano identità - Raccolgono dati personali - Raccolgono dati finanziari - Trasferiscono denaro dai C/C delle vittime - Comprano beni usando il denaro delle vittime Launderers - Forniscono servizi di elaundering - Trasferiscono il denaro rubato su conti anonimi mediante sistemi di money transfer legittimi - Costruiscono una rete di money mules 22

23 Black Market: listino prezzi sul mercato russo SOCKS bot (aggira i firewall): $100 Hiring a DDoS attack: $30-$70/day, $1,200/month Botnet: $200 per 2,000 bots DDoS botnet: $700 ZeuS source code: $200-$500 Windows rootkit (installing malicious drivers): $292 Hacking Facebook or Twitter account: $130 Hacking Gmail account: $162 spam: $10 per one million s SMS spam: $3-$150 per ,000 messages 0-day: $ $

24 Cybercrime: chi c'è dietro? 24

25 RBN RBN è l'acronimo di Russian Business Network Alcune delle sue attività : Phishing Malware (rogue AV, trojans, fake mobile games etc.) Fraud & Scams Attacchi DdoS Pedofilia digitale (pornografia minorile) Porno Online games 25

26 Agenda Cybercrime: lo scenario attuale Rischi e minacce Possibili contromisure 26

27 SPAM Si tratta di invio massivo di messaggi pubblicitari non richiesti (unsolicited). I messaggi promuovono medicinali (es. viagra, cialis, etc..), software e servizi di ogni tipo. E' una vera e propria emergenza a livello mondiale. Esiste un fiorente mercato degli indirizzi , che vengono ricavati da specifici programmi che setacciano forum, newsgroup, mailing-list alla ricerca di nuovi indirizzi. Il nome deriva da una nota marca di carne in scatola che diede vita ad una massiccia campagna pubblicitaria. 27

28 SPAM: da dove proviene? Si stima che l'85% del traffico spam sia generato da botnet Una botnet è una rete di computer collegati ad Internet e controllati da un'unica entità chiamata botmaster. I computer che compongono la botnet (detti appunto bot), sono stati precedentemente infettati da trojan, virus o malware, che consentono al botmaster di controllarli da remoto a piacimento. 28

29 Attacchi tramite botnet Distributed Denial-of-Service (DDoS) Spamming Diffusione di malware Traffic sniffing Keylogging Furto di identità 29

30 SPAM: i danni I danni economici per aziende ed organizzazioni pubbliche e private sono ingenti. Per quanto la legge vieti questo tipo di attività, è estremamente difficile risalire agli spammer, per cui rimangono sostanzialmente impuniti. Inoltre, anche quando si riesce ad individuarli, generalmente hanno la loro base in Paesi in cui questa attività non è reato (es. Russia, Cina, etc.) 30

31 Phishing Consiste in una inviataci da parte di soggetti noti come ad es. Poste Italiane, banche, PayPal, Ebay etc. e molto credibile anche dal punto di vista grafico. La mail invita, generalmente a causa di un presunto blocco del nostro conto, a cliccare su un link per accedere al servizio e sbloccare il nostro account. Il link ci rimanda però ad un sito fasullo, ma pressochè identico all'originale, che serve esclusivamente alla raccolta delle credenziali immesse dai malcapitati. In genere i messaggi di phishing sono scritti in un italiano sgrammaticato (vengono usati traduttori automatici). 31

32 Phishing storico Nel 2008 comparve su Internet questo sondaggio di Member Satisfaction che prometteva un credito di 75$ per ogni partecipante. Alla fine del sondaggio venivano richiesti, oltre ai dati personali (nome, cognome, ), e anche i dati della carta di credito Ovviamente McDonald's non c'entrava nulla ma si trattava di una campagna di phishing 32

33 Ultime tendenze Phishing via VoIP ( Vishing ): uguale al phishing classico via , ma sfrutta le linee telefoniche VoIP, economiche e facili da utilizzare. Phishing via SMS ( Smishing ): consiste in messaggi SMS contenenti allettanti offerte, soprattutto da parte di Operatori di telefonia mobile. E' recente il caso degli SMS apparentemente provenienti da Vodafone, che promettevano 1000 minuti gratis e 1000 SMS gratis al giorno, nonché Internet illimitato. Gli sms-truffa hanno il compito di adescare gli ignari utenti, ai quali viene richiesto di aggiornare i propri account oppure viene proposto il miraggio di ricariche premio gratuite semplicemente visitando pagine web di siti commerciali, di operatori telefonici e istituti di credito. 33

34 Virus, worm & Co. Il Virus è essenzialmente codice software in grado di nascondersi dentro altri programmi ed eseguire invece altre funzioni, come alterare dati e/o infettare altri programmi. Il Worm, invece, utilizza le vulnerabilità di sistemi per replicarsi ed infettare quanti più host possibili. Casi famosi: Code Red e SQL Slammer : macchine infette (2001/2003) Sasser (2004): danni incalcolabili Conficker (2007): 9 miliardi di danni 34

35 Trojan & Spywaree Trojan e spyware sono abbastanza simili tra loro, in quanto entrambi hanno come scopo ultimo quello di rubare informazioni riservate. Col termine Trojan ci si riferisce ad un malware (cioè ad un software malevolo ) che nasconde le sue reali intenzioni, ovvero si presenta come software utile o innocuo, ma in realtà svolge tutta una serie di funzioni. Un esempio classico di trojan sono i cosiddetti RAT dall'inglese Remote Administration Tool, composti generalmente da 2 file: il modulo server, che viene installato nella macchina vittima, ed un modulo client, usato dall'attaccante per inviare istruzioni che il server esegue. Il compito principale del modulo server è quello di carpire credenziali di accesso a conti bancari, dati personali (identity theft) ed inviare queste informazioni al client. 35

36 Zeus Un progetto criminale, ora Open Source. Chiunque può ricompilarlo secondo le proprie necessità, oppure acquistarlo bell'e pronto sul Black Market a prezzi popolari ( dollari). Senza entrare troppo nei tecnicismi, intercetta login FTP, POP3, HTTP e HTTPS. Consente connessioni all'host infetto via RDP o FTP Invia screenshot in tempo reale Consente, ovviamente, l'esecuzione di comandi da remoto. 36

37 Zeus: il pannello di controllo 37

38 Spy Eye In questo post il venditore offre SpyEye, un malware in grado di trafugare credenziali HTTP ed FTP 38

39 Backdoor Si tratta di software che, una volta installato sul computer vittima, si pone in ascolto per eseguire comandi. Un classico esempio è la creazione di backdoor tramite netcat, un software nato per creare connessioni di rete utlizzando lo stack TCP/IP. Esistono software specializzati per la creazione di backdoors, come ad es. il mitico BackOrifice, sviluppato dal gruppo noto come Cult of the Dead Cow, oppure DarkComet. 39

40 DarkComet In figura è visibile una schermata di DarkComet Si notino nel riquadro rosso le c.d. Spy Functions, come: Webcam capture Sound capture Remote Desktop Keylogger Oppure le funzioni per recuperare eventuali password salvate, indicate dalla freccia rossa. E molto altro ancora... 40

41 Fake Antivirus 41

42 Nuovi pericoli: i social networks Lo U.S. Department of Justice ha definito una strategia per ricavare indizi e prove dai profili Facebook, MySpace, Linkedin, Twitter etc. Inoltre i social networks sono tenuti a fornire tutti i dati dei profili che vengono richiesti e questo vale anche per i cittadini non residenti in USA Attenzione quindi a quello che postate sui social network! 42

43 Agenda Cybercrime: lo scenario attuale Rischi e minacce Possibili contromisure 43

44 Osservazione tipica (e legittima) OK, Danilo... Ma a chi vuoi che interessi il mio anonimo PC? 44

45 A chi vuoi che interessi il mio misero PC... Ecco a chi interessa: - Ladri di identità - Nemici/avversari/invidiosi - Psicopatici - Stalkers - Hackers/crackers in genere - Pedofili (!) - Gestori di botnet 45

46 Le contromisure Esistono gli strumenti (soprattutto OpenSource) Basta adottare semplici comportamenti di buon senso Paranoid mode = ALWAYS ON 46

47 Le regole della nonna Avere almeno un antivirus sempre aggiornato Avere un antimalware sempre aggiornato (es. spybot) Usare strumenti anti-phishing sul web (es. Firefox + NoScript) Evitare di scaricare contenuti di cui non si conosca l origine (soprattutto nel peer-to-peer) Evitare di visitare siti pericolosi (porno, warez, casinò online, etc.) 47

48 Le comunicazioni Come abbiamo visto, inviare una mail, fare una telefonata, sono attività che in sé non garantiscono in alcun modo che la conversazione rimanga riservata, né che il nostro interlocutore riceva l informazione inviata da noi. 48

49 Cifrare le GNU Privacy Guard GPG è uno dei programmi più usati per la protezione delle proprie . È basato sulla RFC2440, è OpenSource, gratuito, multiplatform e compatibilie con la maggior parte dei client di posta (MS Outlook, Mozilla Thunderbird, Eudora, etc.). Il client per Thunderbird è Enigmail. Il mittente cifra il messaggio con la chiave pubblica del destinatario e quest'ultimo lo decifra con la propria chiave privata. Il mittente firma un messaggio usando la propria chiave privata. Il destinatario può essere certo dell'identità del mittente controllando questa firma, usando la chiave pubblica contenuta nel certificato del mittente stesso. 49

50 Fuori uno...! OK, con GPG ho messo al sicuro il contenuto della mia posta elettronica. Ora, cosa posso fare per i file che risiedono sul mio computer? Come posso evitare che un furto o uno smarrimento del mio notebook si trasformi in una disclosure dei miei dati? 50

51 TrueCrypt Truecrypt è un programma Open Source, gratuito e multiplatform. Permette di creare volumi o partizioni criptate a cui solo il proprietario può accedere grazie ad una password, ad un certificato o entrambi. É inoltre possibile nascondere un volume di TrueCrypt dentro un altro per creare una sorta di specchietto per le allodole, proteggendo invece la vera partizione criptata. Attenzione però, anche TrueCrypt, sotto determinate condizioni può essere violato! (attacco Coldboot ). E' necessario però avere accesso fisico alla macchina e strumentazione particolare a disposizione... 51

52 Password La gestione delle password merita un discorso a parte. E' un problema che ci trasciniamo da anni e, con il progredire delle tecnologie di calcolo, pone continuamente nuove sfide per la sicurezza dei nostri sistemi. Aspetti fondamentali: Come scegliere le password? Come memorizzarle? Lunghezza, complessità, durata, riutilizzo, cambio, lock-out, etc. 52

53 Facciamo un gioco Alzi la mano chi usa almeno una password più corta di 8 caratteri 53

54 Facciamo un gioco Alzi la mano chi usa la stessa password per almeno due tra le seguenti applicazioni: caselle , facebook, Linkedin, Twitter, Dropbox and so on... 54

55 Facciamo un gioco Alzi la mano chi usa come password: - La propria data di nascita o quella di moglie/fidanzata/figli - Il nome dell'animale preferito - Una delle password listate qui a lato (Linkedin disclosure) password Passw0rd Password qwerty abc123 pippo

56 Quante mani alzate? Poche: O siete timidi o siete furbi (o tutt'e due...) Abbastanza: siete stati onesti Molte: Houston, abbiamo un problema... :) 56

57 Oh my God! Caspita...domattina devo assolutamente ricordarmi di cambiare le password!! 57

58 Ah, dimenticavo... Quanti di voi hanno il numero 4 nel PIN del proprio bancomat, soprattutto in seconda/quarta posizione ed eventualmente ripetuto? 58

59 Torniamo alle Password... La password è ancora il Santo Graal delle informazioni! Il Key Factor è ancora la sua lunghezza, più che la sua complessità. Ad esempio, quale delle due password seguenti ritenete sia più sicura? D0g... PrXyc.N(n4k77#L!eVdAfp9 59

60 Password Probabilmente avete risposto la seconda... :-D In realtà è la prima Per individuare la prima password con un attacco brute-force è necessario un tempo di esecuzione 95 volte più lungo rispetto alla seconda E se usiamo un attacco a dizionario? Non potrebbe essere presente nel dizionario? Certamente, ma è estremamente improbabile che un dizionario contenga questo tipo di password. Ricordiamoci che un attacker non ha alcuna informazione sul tipo di password, sulla sua lunghezza, sul set di caratteri usati: in sostanza lavora alla cieca. 60

61 Password Fonte: Norton Cybercrime Report

62 Password Fonte: Norton Cybercrime Report

63 Password cracking Esistono diversi metodi: Password guessing Shoulder Surfing Sniffing On-line attack Off-line attack 63

64 Password cracking...e svariati software: John the Ripper Hydra Cain & Abel Brutus Ophcrack Etc. etc... 64

65 Attacchi a dizionario 65

66 Rainbow tables Per violare le password criptate (es. MD5, SHA1, etc.) devo: - criptare le password del mio dizionario - fare il match Finchè non trovo la password che matcha Il problema è che perdo molto tempo...ma se avessi un db con tutte le password in chiaro e tutte le rispettive versioni criptate farei molto prima... 66

67 Consigli... Ricordate che per violare una password di 5 caratteri senza numeri, lettere maiuscole e caratteri speciali ci vuole meno di 1 minuto. Per 6 caratteri bastano 50 minuti. Evitiamo date di nascita, nomi e date di nascita dei figli, nome del cane, della fidanzata, della squadra del cuore e in genere qualsiasi informazione che possa essere facilmente ricavata anche dai social networks o dai motori di ricerca... Usiamo password almeno di caratteri, con almeno 1 numero, una lettera maiuscola e 1 carattere speciale (es.!%&@* ^ etc.). Più lunghe e complesse sono, meglio è. Con una password di 10 caratteri, contenente numeri, lettere e caratteri speciali, sono a posto per circa 21 milioni di anni ma... 67

68 Ma... Sempre se non me la scrivo su un Post-it (e magari lo appiccico al monitor)!! 68

69 Un sito utile 69

70 Device USB Uno dei maggiori veicoli di insicurezza sono i dispositivi USB: non conservateci MAI dati sensibili senza averli crittografati (es. con TrueCrypt). Ma i device USB vengono usati anche come vettori di attacco, come nel caso di Stuxnet, il malware che infettò i PCS7 (Process Control System 7), ovvero i computer di controllo che gestivano le centrifughe delle centrali nucleari iraniane. Famoso il caso delle chiavette USB finto-promozionali distribuite ai dipendenti: dopo mezz'ora la rete aziendale era completamente infettata da un trojan che aveva rubato le credenziali di tutti i dipendenti, i loro account bancari, etc. Esistono inoltre software in grado di copiare in poco tempo l'intero contenuto della vostra chiavetta USB appena la collegate al computer. 70

71 E le telefonate? La linea casalinga è notoriamente intercettabile. Le comunicazioni via cellulare GSM sono intercettabili, ma su richiesta delle forze dell'ordine o dell'autorità giudiziaria. In questo scenario, il Voice over IP (VoIP), telefonare attraverso Internet, ci permette, a certe condizioni, di poter usare la telefonia con un certo grado di sicurezza. Ad esempio, Skype protegge con la crittografia tutte le comunicazioni. Tuttavia il funzionamento del programma non è noto, per cui non sappiamo chi lo può controllare e dove sono conservate le nostre informazioni. 71

72 Profiling e anonimato in rete Tutti sappiamo che attraverso l'indirizzo IP è possibile tenere traccia dei siti visitati da un particolare computer/persona, del loro contenuto. Google, facebook e twitter (ma anche altri) ci profilano continuamente proponendoci pubblicità mirata... E possibile quindi tracciare un profilo dei nostri gusti, delle nostre abitudini, idee... anche da un punto di vista sessuale, politico, religioso, di salute. 72

73 Profiling e anonimato in rete Esistono inoltre motori automatici che profilano gli utenti recuperando informazioni direttamente dalla Rete (siti web, documenti, interventi, slides, podcast, etc. (es. Yatedo, o 123people) o applicazioni che mettono in correlazione i dati disponibili in rete, come Maltego. E' noto che attraverso Google si possono condurre ricerche mirate utilizzando i cosiddetti Google Dorks. Per tutti questi motivi è auspicabile se non addirittura necessario essere in grado di poter utilizzare Internet in modo anonimo, senza poter mettere in grado un sito o un motore di ricerca di risalire a noi. 73

74 Profiling e anonimato in rete Tor (The second generation Onion Routing) e' una rete anonimizzante di proxy criptati che permette di rendere anonima qualunque comunicazione avvenga tramite l'utilizzo di TCP. Permette di usare tutti i piu' comuni programmi per l'accesso ad internet quali browser web, chat, posta elettronica, newsgroup e qualunque applicazione utilizzi solo circuiti TCP (niente UDP, quindi niente streaming). Tor dispone anche di una semplice interfaccia grafica chiamata Vidalia, che consente la gestione del servizio. Esiste inoltre la possibilità di torificare alcune applicazioni per renderne anonimo il relativo traffico di rete. Ad esempio si può scaricare un pacchetto che contiene Firefox e Pidgin (instant messenger) già anonimizzati oppure Torpark che gira anche da chiavetta USB. 74

75 Concludendo... 75

76 Grazie per l'attenzione......e passiamo alle domande (aiuto!) :-) These slides are written by. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same license :) 76