The Hacker's Corner International Journalism Festival Perugia - 26 Aprile 2013 Attacchi informatici....un po di chiarezza Attacchi mirati, attacchi generici, Advanced Persistent Threat.. Qual è lo stato dell arte negli attacchi informatici? Quali sono i nuovi trend (e quali quelli vecchi ma sempre validi)? IgorAttacchi Falcomatà <koba@sikurezza.org> informatici, un po di chiarezza The Hacker s Corner - International Journalism Festival 2013 - Perugia http://creativecommons.org/licenses/by-sa/2.0/it/deed.it Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 1
about: aka koba attività professionale: penetration testing security consulting formazione Igor Falcomatà Chief Technical Officer ifalcomata@enforcer.it altro: sikurezza.org (Er bz f)lug Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 2
As seen on TV!! (o almeno su Internet..) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 3
Chi? Cosa? Quando? Dove? Perché? (o almeno Come?) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 4
Attacchi informatici.. (stiamo parlando di) metodi attivi o passivi per abusare danneggiare / accedere / intercettare / modificare / contraffare /.. illegalmente / non autorizzati apparecchiature / sistemi / reti dati altrui Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 5
Attacchi informatici.. (non stiamo parlando di) privacy / tracking /.. OSINT (Open Source Intelligence) pirateria (diritti, copyright, DRM,..) contestazione / parodia netstrike diffamazione penetration testing & co. Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 6
Chi? (e chi li spinge? Spingitori di attacker!) Curiosi / Ragazzini /.. Hacktivisti (Anonymous,..) Piccola Criminalità (cani sciolti, truffatori,..) Criminalità organizzata (RBN,..) Investigazioni private / raccolta informazioni Concorrenti / Spioni industriali Law Enforcement Governi / Servizi Segreti / Intelligence Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 7
Chi? (e chi li spinge? Spingitori di attacker!) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 8
Cosa? (Long long time ago.. in a galaxy.. ehm.. B.I.) phreaking social engineering (telefono, persona) malware (virus, trojan) X25 / itapac / videotel RAS / BBS 1-800-... / green Layer 1 (Physical) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 9
Layer 1? Layer 0? http://xkcd.com/538/ Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 10
Cosa? (Long time ago.. attacchi 1.0) social engineering (mail) malware (worm, dialer) attacchi client/server siamo tutti amici no firewall, mom! Kevin Mitnick anyone? DOS (Denial of Service) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 11
0wn1ng the Enterprise 1.0 in una Internet remota, molti anni fa.. web server mail server db server ext. router file server terminale wan router terminale Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 12
Discovery... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 13
Discovery... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 14
Discovery... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 15
Exploiting... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 16
Exploiting... 0wn1ng the Enterprise 1.0 web server mail server db server Mr. Malicious 1.0 ext. router file server terminale wan router terminale Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 17
Cosa? (Some time ago.. attacchi 1.5) social engineering malware (fake web / phishing) spyware keylogger bank-aware applicazioni web wireless (wardriving, no encryption, WEP,..) DDOS (Distributed Denial of Service) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 18
0wn1ng the Enterprise 1.5 web applications, WiFi, VPNs,... web server mail server db server ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 19
0wn1ng the Enterprise 1.5 web applications, WiFi, VPNs,... web server mail server db server ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 20
Discovery... 0wn1ng the Enterprise 1.5 web server mail server db server Mr. Malicious 1.5 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 21
Discovery... 0wn1ng the Enterprise 1.5 web server mail server db server Mr. Malicious 1.5 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 22
Exploiting... 0wn1ng the Enterprise 1.5 1.0 web server mail server db server Mr. Malicious 1.5 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 23
Exploiting... 0wn1ng the Enterprise 1.5 1.0 web server mail server db server Mr. Malicious 1.5 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 24
Cosa? (Now.. attacchi 2.0..) social engineering social network / messenger client-side attack Cross Site Scripting & Co. exploit applicazioni client -> LAN mobile cloud lifestyle (Single Sign Own) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 25
0wn1ng the Enterprise 2.0 see mom.. no direct traffic.. web server mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 26
Discovery... 0wn1ng the Enterprise 2.0 web server mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 27
Discovery... 0wn1ng the Enterprise 2.0 web server mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 28
Exploiting... 0wn1ng the Enterprise 2.0 web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 29
Exploiting... 0wn1ng the Enterprise 2.0 web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 30
Social engineering 2.0 img src: http://bits.blogs.nytimes.com/2007/10/30/bill-gates-has-joined-facebook-he-has-friends/ 3rd party Mr. Malicious 2.0 vittima Hey, sono Bill, il collega di Canicattì... ti ricordi? Hey Bill.. come va? sei ancora al marketing?... Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 31
Phishing...non solo verso siti di banking 3rd party Mr. Malicious 2.0 vittima Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 32
Tinyurl & co....come offuscare un link con un semplice click 3rd party Mr. Malicious 2.0 vittima Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 33
One-Click-Exploit (sperando che Ama*on non reclami i diritti) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 34
Just click to launch....the good ole Internet Exploder.. (Click) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 35
Meanwhile, back at the ranch....a cowboy sitting in the dark.. Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 36
Game Over thnxs/credits: unknow +hdm@metasploit.com Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 37
Command & Conquer Welcome, master! web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 38
Cosa? (.. e oltre) malware targetted spyware SCADA (Stuxnet,..) mobile mass exploiter VoIP phreaking SCADA (Smart cities, Internet of things,..) (ho già detto?) mobile Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 39
One-Click-Mobile-Exploit (saltiamo la parte di click ) web server 3 party rd Mr. MobileMalicious app backend db server ext. router file server firewall access point 3G user hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 40 BY0D user
One-Click-Mobile-Exploit (saltiamo la parte di click ) 3 party rd Mr. MobileMalicious web server app backend db server vettori: chat e-mail file server link su social network dep. /server firewall MiTM / dns spoofing.. ext. router 3G user hot-spot user access point exploit: sito -> malicious app (pwned) -> BY0D user kernel (pwned) -> r00t!! servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 41
Telefono.. casa.. (intercettazione, posizione, posta, SN, $$,..) web server 3 party rd Mr. MobileMalicious app backend db server ext. router file server firewall access point 3G user hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 42 BY0D user
Rogue App http://blogs.mcafee.com/mcafee-labs/android-malware-pairs-man-in-the-middlewith-remote-controlled-banking-trojan Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 43
Trojan App http://jon.oberheide.org/blog/2010/06/25/remote-kill-and-install-on-google-android/ http://jon.oberheide.org/files/summercon10-androidhax-jonoberheide.pdf applicazione innocente pubblicata sul market call home scarica malicious payload lo esegue run-time Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 44
Quando? (Anytime 24/7) sempre mass exploiting malware mobile / home users APT / covert channel dal venerdì alle 18.01 al lunedì alle 07.59 attacchi mirati Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 45
Dove? (This is the net, baby) Internet Hot Spot / Rogue AP LAN Internet -> client side attack -> LAN mobile -> OOB -> LAN malware nella tua tasca.. altro (RAS, X25, VPN,..) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 46
Un esempio a caso.. Hot-Spot Wifi web server app backend db server ext. router file server firewall access point hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 47 BY0D user
Hot-Spot Wifi (state usando lo smartphone invece di seguire..?) web server app backend db server ext. router file server firewall access point hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 48 BY0D user
Hot-Spot Wifi (state usando lo smartphone invece di seguire..?) web server app backend db server ext. router Mr. WifiMiTM file server firewall access point hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 49 BY0D user
MiTM (arp poisoning, DHCP stealing, rogue AP,..) web server app backend db server ext. router Mr. WifiMiTM file server firewall access point hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 50 BY0D user
Sì, ma io uso HTTPS... (e i certificati? chi pensa ai certificati?) web server app backend db server ext. router Mr. WifiMiTM file server firewall access point hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 51 BY0D user
Game Over. (e non dimentichiamoci delle app..) web server app backend db server ext. router Mr. WifiMiTM file server firewall access point hot-spot user servizi in cloud Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 52 BY0D user
Perché? (mass exploiting, malware,..) fama / vandalismo / bullismo zombie / botnet spam / phishing anonimizzazione / bouncing DDOS distributed computing (bitcoin mining,..) furto identità / credenziali / dati privati soldi (home banking, dialer, ricatto,..) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 53
Perché? (mass exploiting, malware,..) fama / vandalismo / bullismo zombie / botnet spam / phishing anonimizzazione / bouncing DDOS distributed computing (bitcoin mining,..) Follow the money! furto identità / credenziali / dati privati soldi (home banking, dialer, ricatto,..) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 54
Perché? (attacchi mirati) privati bullismo / mobbing / voyeurismo /.. rivalsa / ricatto /.. hacktivism *leaks defacement protesta (DDOS,..) law enforcement Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 55
Perché? (attacchi mirati) aziende investigazioni / HR spionaggio industriale concorrenza sleale (DDOS,..) governi / servizi spionaggio & co. repressione / controllo / intelligence cyberwar Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 56
Command & Conquer http://voices.washingtonpost.com/securityfix/assets_c/2009/05/hackdpc1.html web server 3rd party mail server db server Mr. Malicious 2.0 ext. router file server firewall access point VPN gw Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 57
APT? (Advanced Persistent Che?) Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 58
The Hacker's Corner International Journalism Festival Perugia - 26 Aprile 2013 Attacchi informatici....un po di chiarezza Attacchi mirati, attacchi generici, Advanced Persistent Threat.. Domande? Qual è lo stato dell arte negli attacchi informatici? Risposte? Quali sono i nuovi trend (e quali (grazie) quelli vecchi ma sempre validi)? IgorAttacchi Falcomatà <koba@sikurezza.org> informatici, un po di chiarezza The Hacker s Corner - International Journalism Festival 2013 - Perugia http://creativecommons.org/licenses/by-sa/2.0/it/deed.it Igor Falcomatà <koba@sikurezza.org>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 59