Le tecnicheinformaticheper la sottrazionedidatiriservati

Transcript

1 Le tecnicheinformaticheper la sottrazionedidatiriservati Cosimo Anglano Dipartimento di Informatica & Centro Studi Interdipartimentale sulla Criminalitá Informatica Universitá del Piemonte Orientale Alessandria

2 Computer e datiriservati Dati riservati di diverso tipo che transitano mediante un computer Credenziali di accesso a sistemi bancari Numeridicarte dicreditoe codicidi autorizzazione Credenziali di accesso a servizi informatizzati quali web mail, social network, ecc. Dati personali(codice fiscale, data nascita, ecc.) 2

3 Hanno un valoreeconomico? Tipo di credenziali Data set CVV2 : numerodicartadicredito, codicedi validazione, data discadenza, indirizzodifatturazionee nome del titolare Social Security Number (SSN), Data dinascita(dob), Mothers Maid Name (MMN) Dump dei dati memorizzati nelle bande magnetiche delle carte di credito Credenziali per home banking Prezzo di vendita $1.5 $3 MMN: $5-$6 SSN: $1-$3 DOB: $1-$3 Fulls : insieme completo di tutti i dettagli sopra elencati $5-$20 $15-$20 (standard) $20-$80 (gold/platinum) $50-$1000 (in base al tipo dicontoedal saldo) Dati tratti dal bollettino RSA Online Fraud Report del mese di Agosto

4 Hanno un valoreeconomico? 4

5 Hanno un valoreeconomico? 5

6 Dove sonomemorizzati? Internet 6

7 Dove sonomemorizzati? Internet 7

8 Come sipossonosottrarre? Medianteappositisoftware (malware) installati sul computer all insaputa dell utente per mezzo di un veicolo d infezione 8

9 Veicolidiinfezione: drive-by download Scaricamento(piú o meno) inconsapevole di software 9

10 Veicolidiinfezione: trojanhorse Programmi legittimi che peró al loro interno contengono il malware 10

11 Veicolidiinfezione: worm Malware che cerca attivamente di propagarsi ad altri computer raggiungibili via rete sfruttando vulnerabilitá di questi o tecniche di social engineering (es. messaggi di ) 11

12 Dove agisceilmalware? Keylogger Screen logger Dirottamento della connessione Web page injection Internet Disk scanning & scavenging 12

13 I keylogger Intercettazione dei caratteri digitati sulla tastiera Server legittimo Sddhfd mario sdsfd pass drop server 13

14 I keylogger : problemi Presentano alcuni problemi: Troppi dati generati, pochi realmente interessanti Elaborazione in loco: l utente puó notare rallentamenti del propriocomputer Invio via rete: l utente puó notare un insolita attivitá di rete Difficoltá ad individuare i dati interessanti a causa dell assenza di contesto credenziali spesso inserite per mezzo di pagine web Utilizzo di tastiere virtuali sui siti bancari 14

15 I keylogger : tastierevirtuali 15

16 Gli screen logger Catturano tutto ció che é visualizzato sullo schermo, quindi anche la sequenza di tasti premuti su una tastiera virtuale Inviano queste informazioni ad un drop server Alcuni screen logger sono in grado di catturare anche le comunicazioni audio (skype e simili) Generano un traffico di rete potenzialmente alto, e quindi rilevabile 16

17 Dirottamentodellaconnessione Consiste nel dirottare una connessione richiestaad un sitoweb verso un altrosito, controllato dai malintenzionati Puó essere utilizzato per: Phishing in tempo reale Impedire l accesso a siti specifici, quali ad esempio quelli che si occupano di sicurezza informatica 17

18 Dirottamentodellaconnessione Funzionamento normale DNS Server Indirizzo IP =

19 Dirottamentodellaconnessione Connessione dirottata Drop server DNS locale Indirizzo IP = Server Indirizzo IP =

20 Web page injection Reperimento della pagina web richiesta, sua modifica in tempo reale, ed invio delle informazioni immesse ad un drop server (man-in-the-browser) Server legittimo Drop server 20

21 Le Botnet: ditutto, dipiú Malware che permette ad un controllore remoto di assumere il controllo del computer sul computer infettato viene eseguito un agente software (detto bot ) Il computer diventauno zombie : restain attesa di comandi provenienti da un centro di Controllo e Comando(C&C) Botnet= retedibot Botherder = gestoredellabotnet 21

22 Botnet: usitipici Inviodimessaggidispam senzacheilvero autore sia rintracciabile 22

23 Botnet: usitipici Attacchi distributed denial of service 23

24 Botnet: usitipici Sottrazione di dati riservati Banking/financial botnets Utilizzano una combinazione delle tecniche si sottrazione dati descritte in precedenza Utilizzano una combinazione di veicoli di infezione per diffondersi piú efficacemente 24

25 La botnetzeus/zbot Probabilmentela botnetbancariapiúnota grazie alla copertura sui media non é peról unica, néquellapiúaggressiva Combinaunabotnet(Zbot) con un malware in grado di sottrarre dati riservati(zeus) Prima rilevazione nel 2007 sviluppata inzialmente in un paese di lingua russa evoluzioni successive e continue ne hanno aumentato il potenziale offensivo 25

26 FunzionalitádiZeus Acquisizioni di informazioni di sistema: Nome e versionedellabot Versionee lingua del sistemaoperativodel computer infettato Ora locale impostata sul computer infettato Paesein cui sitrovailcomputer infettato Indirizzo IP del computer infettato 26

27 FunzionalitádiZeus Furtodicredenzialimemorizzatesuhard disk mediante tecniche di disk scanning Password diaccount dipostaelettronicapop 3 o IMAP Password per servizi FTP Credenzialie password salvatadainternet Explorer (dalla prossima versione anche da Firefox) 27

28 FunzionalitádiZeus Furto di credenziali bancarie Intercettazione di qualunque dato inviato ai siti web elencatiin un file diconfigurazioneo filtraggiodiparole specifiche(username, password, ecc.) Dirottamento delle connessioni TANGrabber: aquisizionedeitransaction Authentication Number) utilizzatiper le transazioni bancarie Web page injection 28

29 FunzionalitádiZeus Funzioni di controllo del computer infettato: Spegnimento/riavvio del computer Cancellazione dei file di sistema Accesso remoto al computer ed esecuzione di comandi dallo stesso Aggiornamento del file di configurazione E moltealtre 29

30 Zeus: veicolidiinfezione Molteplici, principalmentedrive-by downloads ottenuti mediante finti messaggi 30

31 DiffusionediZeus Datidiottobre2009 trattidan. FalliereedE. Chien, Zeus: King of the Bots 31

32 Zeus: prezzidimercato Zeus vienevendutodalsuoautore(sconosciuto) ed ha dei meccanismi di protezione dalla copia Prezzi attualmente rilevati: Dati tratti dal bollettino RSA Online Fraud Report del mese di Agosto

33 Zeus: solo computer? Zitmo Zeus in the mobile: telefoni smartphone Blackberry o che utilizzano il sistema operativo Symbian Rilevata nel Settembre 2010 Infezionemediantescaricamentodisoftware in seguito alla ricezione di un SMS informazioni su numero telefonico e marca/modello del telefonocarpitemediantezeus 33

34 Zeus: solo computer? Usodione-time password via SMS per evitare attacchi tipo man-in-the-browser Accesso mediante user name e password Richiesta transazione Immissione del codice one-time 34

35 Zeus: solo computer? Inoltro del codice one-time all insaputa della vittima Accesso mediante user name e password Richiesta Immissione transazione del codice one-time 35

36 Zeus, ma non solo Mariposa: particolarmente efficace Ha infettato circa 12,000,000 di computer Autore arrestato in Slovenia all inizio del 2010 SpyEye: prevedeancheun Zeus killer per soppiantare Zeus all interno del computer che infetta 36

37 Zeus, ma non solo Bugat: simile a Zeus, diffuso mediante Zbot Carberp Feodo: l ultimo arrivato(in ordine di tempo) Individuato a metá Ottobre 2010 Maggiori capacitá rispetto a Zeus 37

38 Diffusionedel fenomeno Alcune statistiche sulla diffusione: Zeus: sistimano computer infettatisolo negli USA Mariposa: stimati di computer infettati Puó un solo individuo/gruppo gestire un flusso cosí alto di informazioni? 38

39 Diffusionedel fenomeno In realtá, l usoditecnologiebotnetnon é limitato ai soli esperti di informatica Venditadiverie proprikit cheautomatizzanola customizzazione del malware e la sua veicolazione Sistemi semplificati di controllo e comando dei bot Potenziale di diffusione estremamente elevato nella comunitá criminale 39

40 Rilevamentodibotnet Il malware puó essere individuato mediante antivirus Gli antivirus riconoscono un programma malware solo dopochelo stessoé stato rilasciato nel frattempo, i computer possono essere infettati 40

41 Rilevamentodibotnet Un software bot puó essere individuato cercando le sue comunicazioni al C&C Spessosonousatecomunicazionicifrateo offuscate: facili da individuare Le botnet di ultima generazione utilizzano canalidicomunicazionestandard, qualipost sutwitter o sufacebook 41

42 Smantellamentodibotnet Individuazione e neutralizzazione del centro C&C Le botnet di ultima generazione utilizzano tecniche sofisticate per rendere difficoltosa l individuazione dei server C&C 42

43 Smantellamentodibotnet Inoltre, sono utilizzate tecniche di ridondanza in cui iserver C&C formanounarete 43

44 Concludendo. Gli strumenti tecnici per la sottrazione di dati riservati sono molto sofisticati Gli strumenti tecnici di contrasto sono relativamenteefficacidopocheilmalware é stato esaminato 44

45 Concludendo. Per un contrastoefficaceé fondamentalela collaborazione dell utente, il quale deve essere educato ad un uso consapevole dei servizi di rete, che costituiscono il veicolo attraverso cui il malware si propaga 45