Cybercrime ed evoluzioni: organizedcrime, modelli di business, black market

Transcript

1 Cybercrime ed evoluzioni: organizedcrime, modelli di business, black market Raoul «Nobody» Chiesa Founder, Partner, Security Brokers, Inc. Principal, CyberDefcon UK Mediaservice.net Roma, 7 Giugno 2012 Raoul Chiesa - Security Brokers, Inc. 1/ 124

2 Agenda Introduzione Chi siamo Le nostre aree di competenza Perché siamo qui Il crimine Passato, Presente Motivazioni, evoluzioni Il cybercrime Modelli di business Attori (non solo hacker, dal singolo all organizzazione criminale) Tipologie di attacchi e frodi Profili e motivazioni degli attori Organizzazioni criminali Aspetti psicologici degli attacchi Conclusioni Contatti Raoul Chiesa - Security Brokers, Inc. 2/ 124

3 Chi siamo Raoul Chiesa Founder, Partner, Security Brokers Inc. Principal, CyberDefcon UK Senior Advisor& Strategic Alliances on Cybercrime presso l UNICRI (United Nations Interregional Crime & Justice Research Institute) PSG Member, ENISA(Permanent Stakeholders Group, European Network & Information Security Agency) Socio Fondatore, Membro del Comitato Direttivo e del Comitato Tecnico-Scientifico del CLUSIT Comitato Direttivo AIP/OPSI, Osservatorio Privacy e Sicurezza Board of Directors, ISECOM Board of Directors, OWASP Italian Chapter Socio Mediaservice.net Raoul Chiesa - Security Brokers, Inc. 3/ 124

4 Chi siamo Security Brokers, Inc. Security Brokers (SB) nasce in seguito a tre lunghi anni di «human-start-up». Il concetto di SB è infatti riassumibile in un marketplacedell Information Security (InfoSec) a 360, con un modello di business simile al quello del brokering: il miglior prodotto (specialista, servizio, prodotto), tipicamente «di nicchia». Il modello si basa quindi su relazioni personaliancora prima che aziendali, costruite in 25 anni e solidificate & testate sul campo negli ultimi 15 anni. SB vede dunque dei Fornitori(Associati) in input e dei Servizi Consulenziali di alta gamma in output. L elenco completo degli Associates non è ad oggi pubblico(previsto: JUN/SEPT 2012). Alcuni nomi (Italia): Isabella Corradini, Andrea Zapparoli Manzoni. Raoul Chiesa - Security Brokers, Inc. 4/ 124

5 Le nostre aree di competenza SLIDE NON DISPONIBILE NELLA VERSIONE PUBBLICA Raoul Chiesa - Security Brokers, Inc. 5/ 124

6 What s this all about? Raoul Chiesa - Security Brokers, Inc. 6/ 124

7 Perché siamo qui? 2011: anno «nero» dell information leak: GOVs, MILs, InfoSec, IT Industry Sequenza di incidenti informatici impressionante Escalation oltre ogni previsione Violazione di target prima impensabili Effetto domino Confini sempre meno marcatitra Cybercrime, Hacktivism, Information Warfaree Cyber War Necessità di rivedere i profili criminali in questi ambiti Necessità di attribuire il giusto peso alle dinamiche psicologiche nelle modalità di attacco Necessità di fare prevenzione in modo serio Necessità di gestire l incidente laddove accade. Puntualmente. Professionalmente. Raoul Chiesa - Security Brokers, Inc. 7/ 124

8 Perché siamo qui? «Cybercrime ranksasone ofthe top four economic crimes» PriceWaterhouseCoopersLLC Global EconomicCrime Survey Cybercrime financial turnover apparently scored up more than Drugs dealing, Human Trafficking and Weapons Trafficking turnovers Various sources(un, USDOJ, INTERPOL, 2011) Financial Turnover, estimation: 6-12 BLN USD$/year Source: Group IB Report content/uploads/2011/04/group- IB_Report_Russian-cybercrimemarket_2010_eng.pdf Raoul Chiesa - Security Brokers, Inc. 8/ 124

9 Lo scenario ALTAMENTE COMPLESSO Attori o Ne parleremo più tardi Motivazione o Fama o Denaro o Ideali o Nessuno (?) Prodotti/Servizi o Campagne di affiliation, boosting, advertising, traffic generation, etc o Li vedremo nelle prossime slide Legislazioni o Non presenti in tutti i Paesi per tutti i reati o Carenze sulla cooperazione internazionale o Cybercrime: profonda presenza in Paesi con problematiche interne Raoul Chiesa - Security Brokers, Inc. 9/ 124

10 Il crimine, nel passato («CRIME») Ogni nuova forma di tecnologia, apre la strada a nuove forme di criminalità. Il rapporto tratecnologiae criminalità è stato, da sempre, caratterizzato da una sorta di gara tra buoni e cattivi. Per esempio, agli inizi del 900, con l avvento dell automobile, i cattivi iniziarono a rubarle..la polizia, per contrastare il fenomeno, definì l adozione obbligatoria delle targhe(car plates).ed i ladriiniziarono a rubare le targhe delleauto (o a falsificarle). Raoul Chiesa - Security Brokers, Inc. 10/ 124

11 Il crimine di oggi: «Cyber»(CRIME) Il concetto di «rapina» è stato sostituito dal furto di informazioni. Hai l informazione, hai il potere. (Quantomeno, nella politica, nel mondo del business, nelle relazioni personali ) Questo, semplicemente perché l informazione è immediatamente trasformabile in: 1. Vantaggio competitivo 2. Informazione sensibile/critica 3. Denaro 4. Ricatto Esempi? ( imbarazzo della scelta ;) Regione Lazio Calciopoli Scandalo Telecom Italia/SISMI Attacco Vodafone Grecia Vittorio Emanuele di Savoia Vallettopoli + Scandalo Escorts Corona McLaren/Ferrari Bisignani Raoul Chiesa - Security Brokers, Inc. 11/ 124

12 Cybercrime: perché? Il cybercrime, in tutti i suoi molteplici aspetti, può essere ritenuto il business criminale più in ascesa del momentoe con i più elevati margini di futura diffusione? Se siamo tutti qua oggi, direi che siamo sulla buona strada per analizzare questa problematica La diffusione dei crimini perpetuati attraverso la rete si basa però su una serie di fattori. Analizziamoli insieme. Raoul Chiesa - Security Brokers, Inc. 12/ 124

13 MoIvazioni / 1 1. Il numero sempre crescente di navigatori novizi, quindi l'aumento delle potenziali vittime o vettori W la banda larga 2. Il crescente bisogno di far soldi"in qualche modo e subito" C è crisi 3. La diffusione del know-how tecnico, anche di livello medio-alto, preconfezionato 0-days, Black Market Raoul Chiesa - Security Brokers, Inc. 13/ 124

14 MoIvazioni / 1 Raoul Chiesa - Security Brokers, Inc. 14/ 124

15 MoIvazioni / 2 4. L'estrema facilità con cui è possibile formare gruppi e reclutare nuovi adepti da plasmare secondo le proprie esigenze Newbies, Script Kiddies 5. La radicata illusione di non poter essere scoperti 6. L'assenza di atti violenti Psicologia e Sociologia Psicologia, Criminologia Raoul Chiesa - Security Brokers, Inc. 15/ 124

16 Lo scenario Raoul Chiesa - Security Brokers, Inc. 16/ 124

17 Lo scenario Raoul Chiesa - Security Brokers, Inc. 17/ 124

18 Introduzione Crimine Cybercrime Casi studio Conclusioni Lo scenario Raoul Chiesa - Security Brokers, Inc. 18/ 124

19 Raoul Chiesa - Security Brokers, Inc.

20 »Traditional crime» Raoul Chiesa - Security Brokers, Inc. 20/ 124

21 Key Business Raoul Chiesa - Security Brokers, Inc. 21/ 124

22 Evolution of cyber attacks Raoul Chiesa - Security Brokers, Inc. 22/ 124

23 IEEE «Hacking Matrix» Raoul Chiesa - Security Brokers, Inc. 23/ 124

24 Che cos è il Cybercrime? Utilizzo della Rete per compiere crimini legati al sesso (cyberpedofilia, cyberstalking)l esecuzione di crimini, mediante l ausilio di mezzi informaticie di telecomunicazione, con lo scopo di acquisire illegalmente informazioni e di tramutarle in denaro. Esempi: Furto di Identità o Personal Info Furto di Credit Identity o Financial Info: login bancari, CC/CVV, «fullz», etc Hacking o verso e-commerce, e-banking, Credit Processing Centers Industrial Espionage Malware o Virus, Worm, Spyware, Key Loggers, Rogue AV, Botnets, Mobile Hacking su commissione Attacchi DDoS o Blackmail, Hacktivism Spam Counterfeiting o medicinali, luxury, prodotti & servizi Gambling o Riciclaggio di denaro o Finti siti e/o non autorizzati (i.e. Italia -> da AAMS) Porno generico o fake sites, etc Pornografia minorile / infantile Raoul Chiesa - Security Brokers, Inc. 24/ 124

25 I servizi del Cybercrime Se decliniamo il tutto. Cybercrime = Business = Services (and products ): Phishing& co Malware (rogue AVs, driven-by attacks, fake mobile games, + standard stuff) Frauds& Scams DDoS Attacks Digital Paedophilia(minors and children pornography) GenericPorn(who wouldbotherfor10buckslost??) On-line games(those fake web sites/ money laundering) Raoul Chiesa - Security Brokers, Inc. 25/ 124

26 Cybercrime Business Model Raoul Chiesa - Security Brokers, Inc. 26/ 124

27 Esempi (veri) Raoul Chiesa - Security Brokers, Inc. 27/ 124

28 Esempi (veri) Per certificare la propria credibilità vengono spesso inseriti dai dati di Carte di Credito Demo, ossia disponibili all eventuale acquirente per verificare che il venditore sia in buona fede. Questo caso è completo di qualsiasi informazione relativa al possessore della carta. Raoul Chiesa - Security Brokers, Inc. 28/ 124

29 Esempi (veri) US visa/us master $2.5 Random ITALY cc $17 BOA, CITI, CHASE.COM LOGIN +PASS FULLS COMPLETE BALANCE: $25000 verified PRICE: $525 Raoul Chiesa - Security Brokers, Inc. 29/ 124

30 Esempi (veri) Raoul Chiesa - Security Brokers, Inc. 30/ 124

31 Esempi (veri) $146K USD/Week Raoul Chiesa - Security Brokers, Inc. 31/ 124

32 Esempi (veri) Raoul Chiesa - Security Brokers, Inc. 32/ 124

33 Esempi (veri) Recentementeè statoincriminatoun gruppo di cybercrooks autori di una campagnadi Fake AV Fraud chesecondo gli inquirentiha fruttatocirca 100 milioni di dollari. Raoul Chiesa - Security Brokers, Inc. 33/ 124

34 Esempi (veri) SLIDE NON DISPONIBILE NELLA VERSIONE PUBBLICA Raoul Chiesa - Security Brokers, Inc. 34/ 124

35 Esempi (veri) Raoul Chiesa - Security Brokers, Inc. 35/ 124

36 Introduzione Crimine Cybercrime Conclusioni Esempi (veri) Raoul Chiesa - Security Brokers, Inc. 36/ 124

37 Introduzione Crimine Cybercrime Conclusioni L Underground Economy Quando si parla di Underground Economy la nostra mente va a piccoli criminali localizzati in paesi dell est Europa Che utilizzano modelli «casalinghi» Che nulla hanno a che fare con il crimine organizzato ed un organizzazione complessa SBAGLIATO Vediamo qualche esempio Raoul Chiesa - Security Brokers, Inc. 37/ 124

38 Introduzione Crimine Cybercrime Conclusioni Underground Economy: Original Business Model Raoul Chiesa - Security Brokers, Inc. 38/ 124

39 Underground Economy: RBN Business Model Raoul Chiesa - Security Brokers, Inc. 39/ 124

40 Raoul Chiesa - Security Brokers, Inc. SLIDE NON DISPONIBILE NELLA VERSIONE PUBBLICA

41 Raoul Chiesa - Security Brokers, Inc. SLIDE NON DISPONIBILE NELLA VERSIONE PUBBLICA

42 Cybercrime Business Model II SLIDE NON DISPONIBILE NELLA VERSIONE PUBBLICA Raoul Chiesa - Security Brokers, Inc. 42/ 124

43 InvesIgaIve OpportuniIes SLIDE NON DISPONIBILE NELLA VERSIONE PUBBLICA Raoul Chiesa - Security Brokers, Inc. 43/ 124

44 Follow the money SLIDE NON DISPONIBILE NELLA VERSIONE PUBBLICA Raoul Chiesa - Security Brokers, Inc. 44/ 124

45 Raoul Chiesa - Security Brokers, Inc.

46 Organizzazione piramidale Raoul Chiesa - Security Brokers, Inc. 46/ 124

47 Business globale Raoul Chiesa - Security Brokers, Inc. 47/ 124

48 0-day Markets Black Market (underground) Black Market (Cybercrime) Software Rel x.y.z 0-day Software Patch «Bug» Vendor CERT (ICS-CERT) Istituzioni Nazionali Raoul Chiesa - Security Brokers, Inc. 48/ 124

49 0-day Markets Source: Forbes, Shopping For Zero-Days: A Price List For Hackers Secret Software Exploits, 2012, in Raoul Chiesa - Security Brokers, Inc. 49/ 124

50 0-day Market s budgets Public Knowledge of the vulnerability Buyer s typology IS = IT Security companies INT = Intelligence Agencies for Governmentaluse (National Security protection) MIL = MoD/related actors for warfareuse OC = Cybercrime 0-day Exploit code + PoCCost: Min/Max Y IS 10K 50K USD Y INT 30K 150K USD Y MIL 50K 200K USD Y OC 5K 80K USD N ALL X2 X10 Raoul Chiesa - Security Brokers, Inc. 50/ 124

51 0-day Market s budgets Vulnerability relays on: Buyer s typology Public Knowledge of the vulnerability Operating System ( OS) Major General Applications (MGA) SCADA-Industrial Automation (SCADA) IS = IT Security companies INT = Intelligence Agencies for Governmentaluse (National Security protection) MIL = MoD/related actors for warfareuse OC = Cybercrime 0-day Exploit code + PoC Cost: Min/Max Y OS OC 40K 100K Y MGA INT 100K 300K Y SCADA MIL 100K 300K N OS MIL 300K 600K N SCADA MIL 400K 1M Raoul Chiesa - Security Brokers, Inc. 51/ 124

52 OSINT for Investigations Open sources can provide up to 90% of the information needed to meet most U.S. intelligence needs -- Deputy Director of National Intelligence, Thomas Fingar Raoul Chiesa - Security Brokers, Inc.

53 Introduzione Crimine Cybercrime Conclusioni Money Mules: «very normal people»? SLIDE NON DISPONIBILE NELLA VERSIONE PUBBLICA Raoul Chiesa - Security Brokers, Inc. 53/ 124

54 Introduzione Crimine Cybercrime Conclusioni NOT criminal souls: EASY to catch!!! SLIDE NON DISPONIBILE NELLA VERSIONE PUBBLICA Raoul Chiesa - Security Brokers, Inc. 54/ 124

55 Dunque Abbiamo analizzato scenari in dinamica evoluzione. Ma siamo convinti che siano solo la classica «punta dell iceberg». Ogniazienda ed istituzione può essere a rischio: sono troppo i fattori in gioco e le possibili motivazioni. Le difese tecnologiche «standard» (FW) non bastano più: bisogna guardare avanti (NGFW, real-time control,.) La difesa non deve essere solo tecnologica, ma deve anche e soprattutto partire dal bene aziendale più prezioso: le persone. Raoul Chiesa - Security Brokers, Inc. 55/ 124

56 RingraziamenI I colleghi italiani ed esteri di Security Brokers Prof.ssa Isabella Corradini Claudio Guarnieri(Shadow Server) Il team di security & cybercrime analyst di CyberDefcon UK ed HostExploit Andrea Zapparoli Manzoni e Sofia Scozzari Il team di Team Cymru (USA) ed Underground Economy/INTERPOL (Francia) Lo staff del Security Summit, Paolo Giudice, Cinzia Ercolano e Mario Salvatori in primis!! Palo Alto Networks, Jose Muniz e Cesare Radaelli Raoul Chiesa - Security Brokers, Inc. 56/ 124

57 ContaT, Q&A Raoul Chiesa GPG Key: Raoul Chiesa - Security Brokers, Inc. 57/ 124