Anti Krimen Expo 2001 Area Sicurezza Informatica. Sottotitolo

Transcript

1 Con la collaborazione di: Fabio Pietrosanti, I.NET SpA Storia e psicologia Hacker Raoul Chiesa Analisi e simulazione di un attacco informatico Maurizio Agazzini Anti Krimen Expo 2001 Area Sicurezza Informatica Sottotitolo ottobre 2001 Fortezza da Basso Mediaservice.net Divisione Sicurezza Dati

2 Copyright Questo insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relative alle trasparenze (ivi inclusi, ma non limitatamente a, ogni immagine, fotografia, animazione, video e testo) sono di proprietà degli autori indicati. Le trasparenze possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione per scopi istituzionali, non a fine di lucro. Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente a, le riproduzioni a mezzo stampa, su supporti magnetici o su reti di calcolatori) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte dell autore. L informazione contenuta in queste trasparenze è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, ecc. L informazione contenuta in queste trasparenze è soggetta a cambiamenti senza preavviso. Gli autori non si assumono alcuna responsabilità per il contenuto di queste trasparenze (ivi incluse, ma non limitatamente a, la correttezza, completezza, applicabilità ed aggiornamento dell informazione). In ogni caso non può essere dichiarata conformità all informazione contenuta in queste trasparenze. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali.

3 INDEX The Company Storia e psicologia hacking Analisi di un attacco informatico Simulazione di un attacco informatico Conclusioni Contacts 3

4 The Company

5 The Company Founded in 1997 Wide Background, Direct Experience Tiger Team Specialized Focus, Security Underground Vision Strong R&D

6 Hackers: Who is Who

7 COS E L HACKING - 1/2 Per l Hacker Non ho alcuna colpa, sto solo curiosando. Io non ho particolari talenti.sono solo appassionatamente curioso (Albert Einstein, fisico) Il mio unico crimine e' la curiosità (The Mentor, Hacker's Manifest, anni 80) Per l Azienda Con la loro curiosità accedono ai nostri dati riservati Può un ragazzino di 14 anni entrare nel vostro sistema informatico? (Campagna pubblicitaria Sicurezza IBM Italia 1998/99) 7

8 COS E L HACKING - 2/2 Fare hacking significa accedere abusivamente - vale a dire in modo non autorizzato - a dei sistemi informatici connessi a reti pubbliche (Internet, X.25) e private (reti LAN aziendali, VPN, accessi modem)

9 IERI: Hacking in cifre, Italia, 1997/1998-1/4 1997: 103 segnalazioni, 492 macchine coinvolte (Fonte: Dati ufficiali CERT-IT) 1998: 143 segnalazioni 761 macchine coinvolte Piramide dell hacking: le intrusioni (denunciate e non, 100%) Piramide delle intrusioni: 95% -> 5% (Fonte: Dati ufficiali CERT-IT) Si stima che solo il 5% delle intrusioni venga denunciata dalle Aziende

10 IERI: Hacking in cifre, Italia, 1997/1998-2/4 Provenienza degli attacchi denunciati: Non accertata 20% 34% Estero 29% 42% Italia 51% 24% Fonte: Dati ufficiali CERT-IT

11 IERI: Hacking in cifre, Italia, 1997/1998-3/4 Obiettivi degli attacchi Internet ufficiali dall Italia ITALIA.it 78 % GERMANIA.de 6 % FRANCIA.fr 4% R.UNITO.uk 2%.com 0.5%.gov 1% Fonte: Dati ufficiali CERT-IT

12 IERI: Hacking in cifre, Italia, 1997/1998-4/4 Attività sulle macchine attaccate 74 perlustrazioni 17 root compromise (poteri da Amministratori di Sistema) 11 DoS (interruzione dei servizi erogati - spegnimento) 3 BO (attacchi su reti locali Microsoft Windows) Tecniche utilizzate port scanning 41 attacchi, 552 macchine coinvolte spamming 10 attacchi, 39 macchine coinvolte Fonte: Dati ufficiali CERT-IT

13 Hacking in cifre: World Incidents 1988-> I Trim I Trim Fonte: Dati ufficiali CERT/CC (CERT Coordination Center, USA)

14 OGGI: Hacking in cifre, Italia, 2001 Differenze Decine di centinaia di attacchi registrati quotidianamente Diffusione automatizzata degli attacchi (WORM, DDOS) Non necessità dell attività umana per lanciare e gestire gli attacchi (WORM) Responsabilità di terzi (macchine contagiate)

15 Hacking e Criminalità Aree operative dell hacker criminale A scopo di lucro Furto/cancellazione di dati Transazioni finanziarie illegali Intercettazione di comunicazioni riservate Interruzione di servizi web Intrusione in archivi economici per transazioni on-line (carte di credito) Abuso di sistemi telefonici terresti e mobili (PSTN - GSM) Money Laundering Truffe economiche (casinò on-line, consigli di trading borsistico) A scopo di pura intrusione Furto di informazioni confidenziali Intercettazione di comunicazioni riservate Infezione di macchine troiani o modificando le operazioni dei computer Utilizzo abusivo di computer e reti

16 InterNet Network History Crescita della rete Internet ANNO BACKBONES N. HOST Kbps ARPANET Kbps ARPANET Kbps ARPANET + Satellite & Radio connections Kbps ARPANET + 56Kbps CSNET + Sat/Radio Kbps ARPANET + 56Kbps CSNET + Sat/Radio Kbps ARPANET + 56Kbps CSNET + Sat/Radio Kbps ARPANET + 56Kbps CSNET + Sat/Radio Mbps (T1) NSFNET Kbps ARPANET + 56Kbps CSNET + Sat/Radio Mbps (T1) NSFNET Kbps ARPANET + 56Kbps CSNET + Sat/Radio Mbps (T1) NSFNET Kbps ARPANET + 56Kbps CSNET + Sat/Radio Mbps (T1) NSFNET Kbps ARPANET + 56Kbps CSNET + Sat/Radio Mbps (T1) NSFNET Partial 45 Mbps (T3) NSFNET, a few private backbones + Sat/Radio connections Mbps (T3) NSFNET, private interconnected backbones (56Kbps, Mbps) Mbps (T3) NSFNET, private (56Kbps Mbps - 45 Mbps lines) + Sat/Radio Mbps (ATM) NSFNET, private as above + Satellite & Radio connections Mbps (ATM) NSFNET (now private), private as above Mbps + Sat/Radio Mbps (ATM) NSFNET (now private), private as above Mbps + Sat/Radio over

17 Hacking History 124 anni di storia tecnologica ed hacking 1876: Mr. Alexander Bell inventa il telefono 1928: primo utilizzo del termine punk per intendere criminale anni 30: Marconi rivoluziona le comunicazioni a distanza 1934: gli USA redigono il Comunication Act Anni 60: Nasce ARPANET e avviene la prima connessione Internet tra la UCLA ed il MIT (chat) 1969: Ad Helsinki nasce Linus Torwalds; negli anni 90 LINUX cambierà l economia degli OS anni 70: Nasce il Phreaking e rimane per due intere generazioni; gli Hacker costruiscono la vera Internet anni 80: L informatica diventa un fenomeno di massa. Home Computing, BBS, hacking in USA e Canada : Nascono 2600 e Phrack Magazine, i pilastri della comunicazione hacker; hacking in Europa 1986: 8 gennaio, The Mentor scrive The Hacker s Manifest 1988: Il Virus WARM di R. Morris contagia per errore decine di migliaia di hosts su DECnet e Internet 1992: Il CERN di Ginevra inventa il protocollo ipertestuale HTTP e nasce il WEB (WWW) : Uno studente finlandese decide di non usare l MS-DOS e Windows, ma di creare il proprio OS: Linux 1993:1997: L hacking esplode in ogni parte tecnologizzata del mondo : La filosofia Open Source, GNU e Freeware invade e sconvolge il mercato del software e del copyright 1995: Kevin The Condor Mitnick viene arrestato dall F.B.I. dopo 14 anni di hacking, fughe e latitanze 1998: Il 65% delle tentate intrusioni va a buon fine. Obiettivi: sistemi governativi, militari, carrier telefonici 1999: Due hacker vengono condannati a morte in Cina: hanno rubato 2000 US$ da una banca cinese 2000: Febbraio/Marzo: gli episodi di Yahoo!, E-Bay ed Amazon scatenano il panico e la paura dell hacker 2000: Marzo/Aprile: la comunità hacker si distacca dalla filosofia degli attacchi D.o.S./D.D.o.S.

18 Tipologie di Hacker PROFILO PSICOLOGICO LIVELLO DI PERICOLOSITA Wannabe Lamer NULLO (Vorrei essere hacker ma non ci riesco.) Script Kiddie BASSO (Il ragazzo degli script) Cracker ALTO (Terra bruciata, il Distruttore) Ethical Hacker MEDIO (L Hacker Etico ) Quiet, paranoid, skilled hacker MEDIO (L hacker taciturno, paranoico, specializzato) Cyber-Warrior ALTO (Il mercenario, hacking a pagamento) Industrial Spy ALTO (La spia Spionaggio industriale) Government agent ALTO (L agente governativo, CIA, Mossad, FBI, etc..)

19 Tipologie di reati PROFILO PSICOLOGICO REATI Wannabe Lamer Nessuno (Vorrei fare l hacker ma non ci riesco.) Script Kiddie Nessuno/615 ter (Il ragazzo degli script) Cracker 635 bis/615 ter,quater,quinquies/420 c. 2 (Terra bruciata, il Distruttore) Ethical Hacker 615 quater/615 ter (L Hacker Etico ) Quiet, paranoid, skilled hacker 615 quater/615 ter/ (635) (L hacker taciturno, paranoico, specializzato) Cyber-Warrior 615 quater,ter/640 ter Frode informatica (Il mercenario, hacking a pagamento) Industrial Spy come sopra + eventguali aggravanti (La spia Spionaggio industriale) Government agent come sopra + eventuali aggravanti (L agente governativo, CIA, Mossad, FBI, etc..)

20 Attack Sophistication vs. Intruder Technical Knowledge: Confronto tra la sofisticazione degli attacchi e le Conoscenze Tecniche (skill level) dell intruso High Intruder Knowledge Stealth diagnostics Denial of Service WWW Attacks/Incidents Tools Sniffers Automated Probes/Scans GUI Backdoors Disabling audits Packet spoofing Hijacking sessions Attack Sophistication Low Exploiting known vulnerabilities Password cracking Self-replicating code Password guessing Attackers Years Fonte: CERT/CC (USA)

21 Year 2001 Hacking Trends Attacchi a Web Server IIS Microsoft based Spamming Abuso di accessi su Portali Sostituzioni di Home Page Falsificazione di transazioni E-commerce Worm a diffusione Client/Server Macro Virus via

22 Tecniche di intrusione maggiormente utilizzate Accesso diretto alla macchina L intruso accede direttamente ad un server della rete LAN. Nella maggior parte dei casi l intrusione avviene a causa di errori nei software del sistema operativo (bugs), delle sue applicazioni o per errate configurazioni dei servizi Source routing L intruso acquisisce l identità di un computer autorizzato ad accedere alla LAN e comunica il percorso di risposta, in modo da redirigere (redirect) su di sé i pacchetti di dati originariamente destinati all utente autorizzato Spoofing L intruso si finge computer autorizzato ad accedere alla LAN e comunica direttamente con i server, senza ricevere pacchetti di risposta Sniffing L intruso intercetta e legge i file durante il loro trasferimento sulla rete, acquisendo quindi password di accesso etc.

23 Analisi di un attacco informatico

24 B Schema di un attacco 1/2: GLI ELEMENTI C Sistema vittima (target) Base di partenza sicura precedentemente acquisita Hacker A 24

25 Schema di un attacco 2/2: LE AZIONI B Utilizzo di B come sistema-ponte dal quale sferrare l attacco verso C C Attacco ad Istituto di Credito Camuffamento linea telefonica A

26 Attacco tramite reti estere: mascheramento Credit card telefoniche Sede del centralino telefonico internazionale: chiamata verso un Internet Provider americano Attacco via Internet proveniente dagli USA verso sistema italiano 26

27 ATTACCO: Fase di acquisizione delle informazioni tipo di sistema operativo versione di sistema operativo acquisizione di documentazione sullo stesso pacchetti di sicurezza installati acquisizione documentazione sugli stessi utenti registrati sul sistema acquisizione informazioni sugli stessi ricerca eventuali altre uscite esistenti scanning degli altri host presenti controllo delle chiamate in ingresso ed in uscita controllo orari di utilizzo della macchina ed orari "liberi controllo del tipo di amministrazione

28 Simulazione di un attacco informatico

29 Conclusioni

30 Using Hacking to get a better Company s Security Trovare una Security Company che conosca veramente le tecniche hacking (o, per meglio dire, che abbia assunto Ethical Hackers nel proprio staff) ed autorizzarla (richiesto per legge) a PROBE YOUR SYSTEMS: Security Probes sulle Connessioni Esterne (Internet ed accessi remoti alla vostra Azienda) Security Probes sulle reti LAN (Network, OS, Appliances e Procedure Web) PBX (Private Branch Exchange) Probes Questo vi aiuterà a scoprire i vostri security holes e preservare la vostra immagine aziendale 30

31 Conclusioni Necessità di una Cultura della Sicurezza nel nostro Paese Collaborazione ed interfacciamento tra Internet Provider, Aziende e Polizia Informatica (N.O.P.T.) Aggiornamenti software continui ai propri sistemi server Consulenze esterne fornite da veri professionisti del settore in collaborazione con i propri Security Manager e System Manager Attenti studi sulla psicologia hacker ed il vero confine tra hacker e criminale (hacking etico=ricerca ed Innovazione nell I.T. Security)

32 Contacts

33 @ Mediaservice.net Divisione Sicurezza Dati New Concepts on Security Services Relatori: Raoul Chiesa, Maurizio Agazzini D.S.D. Mediaservice.net Srl - ITALY Fabio Pietrosanti, I.NET SpA 33

34 @ Mediaservice.net Consulting and Technical Solutions for your Corporate Security & Image Telephone: General Info: