Con la collaborazione di: Fabio Pietrosanti, I.NET SpA Storia e psicologia Hacker Raoul Chiesa Analisi e simulazione di un attacco informatico Maurizio Agazzini Anti Krimen Expo 2001 Area Sicurezza Informatica Sottotitolo 12-13-14 ottobre 2001 Fortezza da Basso (FI) @ Mediaservice.net Divisione Sicurezza Dati
Copyright Questo insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relative alle trasparenze (ivi inclusi, ma non limitatamente a, ogni immagine, fotografia, animazione, video e testo) sono di proprietà degli autori indicati. Le trasparenze possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione per scopi istituzionali, non a fine di lucro. Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente a, le riproduzioni a mezzo stampa, su supporti magnetici o su reti di calcolatori) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte dell autore. L informazione contenuta in queste trasparenze è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, ecc. L informazione contenuta in queste trasparenze è soggetta a cambiamenti senza preavviso. Gli autori non si assumono alcuna responsabilità per il contenuto di queste trasparenze (ivi incluse, ma non limitatamente a, la correttezza, completezza, applicabilità ed aggiornamento dell informazione). In ogni caso non può essere dichiarata conformità all informazione contenuta in queste trasparenze. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali.
INDEX The Company Storia e psicologia hacking Analisi di un attacco informatico Simulazione di un attacco informatico Conclusioni Contacts 3
The Company
The Company Founded in 1997 Wide Background, Direct Experience Tiger Team Specialized Focus, Security Underground Vision Strong R&D
Hackers: Who is Who
COS E L HACKING - 1/2 Per l Hacker Non ho alcuna colpa, sto solo curiosando. Io non ho particolari talenti.sono solo appassionatamente curioso (Albert Einstein, fisico) Il mio unico crimine e' la curiosità (The Mentor, Hacker's Manifest, anni 80) Per l Azienda Con la loro curiosità accedono ai nostri dati riservati Può un ragazzino di 14 anni entrare nel vostro sistema informatico? (Campagna pubblicitaria Sicurezza IBM Italia 1998/99) 7
COS E L HACKING - 2/2 Fare hacking significa accedere abusivamente - vale a dire in modo non autorizzato - a dei sistemi informatici connessi a reti pubbliche (Internet, X.25) e private (reti LAN aziendali, VPN, accessi modem)
IERI: Hacking in cifre, Italia, 1997/1998-1/4 1997: 103 segnalazioni, 492 macchine coinvolte (Fonte: Dati ufficiali CERT-IT) 1998: 143 segnalazioni 761 macchine coinvolte Piramide dell hacking: le intrusioni (denunciate e non, 100%) Piramide delle intrusioni: 95% -> 5% (Fonte: Dati ufficiali CERT-IT) Si stima che solo il 5% delle intrusioni venga denunciata dalle Aziende
IERI: Hacking in cifre, Italia, 1997/1998-2/4 Provenienza degli attacchi denunciati: 1998 1997 Non accertata 20% 34% Estero 29% 42% Italia 51% 24% Fonte: Dati ufficiali CERT-IT
IERI: Hacking in cifre, Italia, 1997/1998-3/4 Obiettivi degli attacchi Internet ufficiali dall Italia ITALIA.it 78 % GERMANIA.de 6 % FRANCIA.fr 4% R.UNITO.uk 2%.com 0.5%.gov 1% Fonte: Dati ufficiali CERT-IT
IERI: Hacking in cifre, Italia, 1997/1998-4/4 Attività sulle macchine attaccate 74 perlustrazioni 17 root compromise (poteri da Amministratori di Sistema) 11 DoS (interruzione dei servizi erogati - spegnimento) 3 BO (attacchi su reti locali Microsoft Windows) Tecniche utilizzate port scanning 41 attacchi, 552 macchine coinvolte spamming 10 attacchi, 39 macchine coinvolte Fonte: Dati ufficiali CERT-IT
Hacking in cifre: World Incidents 1988->2000 10000 9859 9000 8000 1988 7000 6000 1989 1990 1991 5000 4000 3734 4266 1992 1993 1994 3000 2000 1000 0 2340 2412 2573 2134 1334 773 6 132 252 406 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 I Trim. 2000 1995 1996 1997 1998 1999 I Trim. 2000 Fonte: Dati ufficiali CERT/CC (CERT Coordination Center, USA)
OGGI: Hacking in cifre, Italia, 2001 Differenze Decine di centinaia di attacchi registrati quotidianamente Diffusione automatizzata degli attacchi (WORM, DDOS) Non necessità dell attività umana per lanciare e gestire gli attacchi (WORM) Responsabilità di terzi (macchine contagiate)
Hacking e Criminalità Aree operative dell hacker criminale A scopo di lucro Furto/cancellazione di dati Transazioni finanziarie illegali Intercettazione di comunicazioni riservate Interruzione di servizi web Intrusione in archivi economici per transazioni on-line (carte di credito) Abuso di sistemi telefonici terresti e mobili (PSTN - GSM) Money Laundering Truffe economiche (casinò on-line, consigli di trading borsistico) A scopo di pura intrusione Furto di informazioni confidenziali Intercettazione di comunicazioni riservate Infezione di macchine troiani o modificando le operazioni dei computer Utilizzo abusivo di computer e reti
InterNet Network History Crescita della rete Internet ANNO BACKBONES N. HOST 1928 0 0 1968 50Kbps ARPANET 4 1973 50Kbps ARPANET 23 1976 50Kbps ARPANET + Satellite & Radio connections 111 1981 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio 213 1983 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio 562 1984 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio 1024 1985 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 1961 1986 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 2308 1987 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 28.174 1988 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 56.000 1990 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 313.000 1991 Partial 45 Mbps (T3) NSFNET, a few private backbones + Sat/Radio connections 617.000 1992 45 Mbps (T3) NSFNET, private interconnected backbones (56Kbps, 1.544 Mbps) 1.136.000 1993 45 Mbps (T3) NSFNET, private (56Kbps - 1.544Mbps - 45 Mbps lines) + Sat/Radio 2.056.000 1994 145 Mbps (ATM) NSFNET, private as above + Satellite & Radio connections 3.864.000 1995 145 Mbps (ATM) NSFNET (now private), private as above + 155 Mbps + Sat/Radio 6.642.000 1996 145 Mbps (ATM) NSFNET (now private), private as above + 155 Mbps + Sat/Radio over 15.000.000
Hacking History 124 anni di storia tecnologica ed hacking 1876: Mr. Alexander Bell inventa il telefono 1928: primo utilizzo del termine punk per intendere criminale anni 30: Marconi rivoluziona le comunicazioni a distanza 1934: gli USA redigono il Comunication Act Anni 60: Nasce ARPANET e avviene la prima connessione Internet tra la UCLA ed il MIT (chat) 1969: Ad Helsinki nasce Linus Torwalds; negli anni 90 LINUX cambierà l economia degli OS anni 70: Nasce il Phreaking e rimane per due intere generazioni; gli Hacker costruiscono la vera Internet anni 80: L informatica diventa un fenomeno di massa. Home Computing, BBS, hacking in USA e Canada 1984-1985: Nascono 2600 e Phrack Magazine, i pilastri della comunicazione hacker; hacking in Europa 1986: 8 gennaio, The Mentor scrive The Hacker s Manifest 1988: Il Virus WARM di R. Morris contagia per errore decine di migliaia di hosts su DECnet e Internet 1992: Il CERN di Ginevra inventa il protocollo ipertestuale HTTP e nasce il WEB (WWW) 1991-1994: Uno studente finlandese decide di non usare l MS-DOS e Windows, ma di creare il proprio OS: Linux 1993:1997: L hacking esplode in ogni parte tecnologizzata del mondo 1994-2000: La filosofia Open Source, GNU e Freeware invade e sconvolge il mercato del software e del copyright 1995: Kevin The Condor Mitnick viene arrestato dall F.B.I. dopo 14 anni di hacking, fughe e latitanze 1998: Il 65% delle tentate intrusioni va a buon fine. Obiettivi: sistemi governativi, militari, carrier telefonici 1999: Due hacker vengono condannati a morte in Cina: hanno rubato 2000 US$ da una banca cinese 2000: Febbraio/Marzo: gli episodi di Yahoo!, E-Bay ed Amazon scatenano il panico e la paura dell hacker 2000: Marzo/Aprile: la comunità hacker si distacca dalla filosofia degli attacchi D.o.S./D.D.o.S.
Tipologie di Hacker PROFILO PSICOLOGICO LIVELLO DI PERICOLOSITA Wannabe Lamer NULLO (Vorrei essere hacker ma non ci riesco.) Script Kiddie BASSO (Il ragazzo degli script) Cracker ALTO (Terra bruciata, il Distruttore) Ethical Hacker MEDIO (L Hacker Etico ) Quiet, paranoid, skilled hacker MEDIO (L hacker taciturno, paranoico, specializzato) Cyber-Warrior ALTO (Il mercenario, hacking a pagamento) Industrial Spy ALTO (La spia Spionaggio industriale) Government agent ALTO (L agente governativo, CIA, Mossad, FBI, etc..)
Tipologie di reati PROFILO PSICOLOGICO REATI Wannabe Lamer Nessuno (Vorrei fare l hacker ma non ci riesco.) Script Kiddie Nessuno/615 ter (Il ragazzo degli script) Cracker 635 bis/615 ter,quater,quinquies/420 c. 2 (Terra bruciata, il Distruttore) Ethical Hacker 615 quater/615 ter (L Hacker Etico ) Quiet, paranoid, skilled hacker 615 quater/615 ter/ (635) (L hacker taciturno, paranoico, specializzato) Cyber-Warrior 615 quater,ter/640 ter Frode informatica (Il mercenario, hacking a pagamento) Industrial Spy come sopra + eventguali aggravanti (La spia Spionaggio industriale) Government agent come sopra + eventuali aggravanti (L agente governativo, CIA, Mossad, FBI, etc..)
Attack Sophistication vs. Intruder Technical Knowledge: Confronto tra la sofisticazione degli attacchi e le Conoscenze Tecniche (skill level) dell intruso High Intruder Knowledge Stealth diagnostics Denial of Service WWW Attacks/Incidents Tools Sniffers Automated Probes/Scans GUI Backdoors Disabling audits Packet spoofing Hijacking sessions Attack Sophistication Low Exploiting known vulnerabilities Password cracking Self-replicating code Password guessing Attackers Years 1980 1985 1990 1995 1998 Fonte: CERT/CC (USA)
Year 2001 Hacking Trends Attacchi a Web Server IIS Microsoft based Spamming Abuso di accessi su Portali Sostituzioni di Home Page Falsificazione di transazioni E-commerce Worm a diffusione Client/Server Macro Virus via E-mail
Tecniche di intrusione maggiormente utilizzate Accesso diretto alla macchina L intruso accede direttamente ad un server della rete LAN. Nella maggior parte dei casi l intrusione avviene a causa di errori nei software del sistema operativo (bugs), delle sue applicazioni o per errate configurazioni dei servizi Source routing L intruso acquisisce l identità di un computer autorizzato ad accedere alla LAN e comunica il percorso di risposta, in modo da redirigere (redirect) su di sé i pacchetti di dati originariamente destinati all utente autorizzato Spoofing L intruso si finge computer autorizzato ad accedere alla LAN e comunica direttamente con i server, senza ricevere pacchetti di risposta Sniffing L intruso intercetta e legge i file durante il loro trasferimento sulla rete, acquisendo quindi password di accesso etc.
Analisi di un attacco informatico
B Schema di un attacco 1/2: GLI ELEMENTI C Sistema vittima (target) Base di partenza sicura precedentemente acquisita Hacker A 24
Schema di un attacco 2/2: LE AZIONI B Utilizzo di B come sistema-ponte dal quale sferrare l attacco verso C C Attacco ad Istituto di Credito Camuffamento linea telefonica A
Attacco tramite reti estere: mascheramento Credit card telefoniche Sede del centralino telefonico internazionale: chiamata verso un Internet Provider americano Attacco via Internet proveniente dagli USA verso sistema italiano 26
ATTACCO: Fase di acquisizione delle informazioni tipo di sistema operativo versione di sistema operativo acquisizione di documentazione sullo stesso pacchetti di sicurezza installati acquisizione documentazione sugli stessi utenti registrati sul sistema acquisizione informazioni sugli stessi ricerca eventuali altre uscite esistenti scanning degli altri host presenti controllo delle chiamate in ingresso ed in uscita controllo orari di utilizzo della macchina ed orari "liberi controllo del tipo di amministrazione
Simulazione di un attacco informatico
Conclusioni
Using Hacking to get a better Company s Security Trovare una Security Company che conosca veramente le tecniche hacking (o, per meglio dire, che abbia assunto Ethical Hackers nel proprio staff) ed autorizzarla (richiesto per legge) a PROBE YOUR SYSTEMS: Security Probes sulle Connessioni Esterne (Internet ed accessi remoti alla vostra Azienda) Security Probes sulle reti LAN (Network, OS, Appliances e Procedure Web) PBX (Private Branch Exchange) Probes Questo vi aiuterà a scoprire i vostri security holes e preservare la vostra immagine aziendale 30
Conclusioni Necessità di una Cultura della Sicurezza nel nostro Paese Collaborazione ed interfacciamento tra Internet Provider, Aziende e Polizia Informatica (N.O.P.T.) Aggiornamenti software continui ai propri sistemi server Consulenze esterne fornite da veri professionisti del settore in collaborazione con i propri Security Manager e System Manager Attenti studi sulla psicologia hacker ed il vero confine tra hacker e criminale (hacking etico=ricerca ed Innovazione nell I.T. Security)
Contacts
@ Mediaservice.net Divisione Sicurezza Dati New Concepts on Security Services Relatori: Raoul Chiesa, Maurizio Agazzini D.S.D. Members @ Mediaservice.net Srl - ITALY Fabio Pietrosanti, I.NET SpA 33
@ Mediaservice.net Consulting and Technical Solutions for your Corporate Security & Image Telephone: +39-011-32.72.100 E-mail: dsd@mediaservice.net General Info: info@mediaservice.net