Post on 17-Dec-2014
description
Emanuele Gentili
L’incontro tra il red team ed il blue team
Strategie e strumenti in ambiti di CYBER WAR
Stefano Fratepietro
Blue Tea
m
Blue Tea
mRed Teamsabato 30 giugno 12
2
Emanuele Gentili
Emanuele Gentili
http://www.tigersecurity.ithttp://www.backtrack-linux.orghttp://www.exploit-db.com
Amministratore unico di Tiger Security S.r.l.
Offensive Security Certified Professional Trainer
Security and Cyber Intelligence Advisor
European Project Leader in BackTrack Linux - Penetration Test OS
http://www.emanuelegentili.euhttp://www.twitter.com/emgenthttp://it.linkedin.com/in/emanuelegentili
Stefano FratepietroBlue T
eamRed Team
sabato 30 giugno 12
3
Stefano Fratepietro
Emanuele Gentili
Consulente di Computer Forensics per procure, forze dell’ordine e grandi aziende italiane‣Buongiorno Vitaminic! ‣Telecom Italia -‐ Ghioni
Certificato OSSTMM Professional Security Tester (OPST)Certificato Offensive Security Certified Professional (OSCP)
DEFT Project Leader
Stefano FratepietroBlue T
eamRed Team
http://steve.deftlinux.nethttp://www.linkedin.com/in/stefanofratepietro
http://www.deftlinux.nethttp://www.twitter.com/stevedeft
sabato 30 giugno 12
4
‣ Dimostrare che la guerra digitale esiste e viene praticata quotidianamente
‣ Dimostrare che c’e’ la necessità di proteggere le infrastrutture informatiche con personale competente e pro-attivo
‣ Dimostrare che alcuni governi applicano politiche aggressive nel cyber spazio
‣ Dimostrare che sono necessarie politiche di difesa e raccolta di informazioni
Blue Tea
mRed Team
Obiettivi
Emanuele Gentili Stefano Fratepietro
sabato 30 giugno 12
5BackTrack Linux
Emanuele GentiliBlue T
eam
Red Te
amStefano Fratepietro
sabato 30 giugno 12
6
BackTrack Linux
Emanuele GentiliBlue T
eam
Red Te
am
Distribuzione GNU/Linux Live installabile per attività di cyber intelligence e di Penetration Test.
Nasce nel 2006 come progetto indipendente
Oltre 600 tools per svolgere test di sicurezza edinvestigazione.
Rispetto delle Metodologie STANDARD internazionali PTES, OSSTMM, OWASP, OSINT.
Piu’ di nove milioni di download unici dalle nostre infrastrutture ( 9,237,811 - 03 Marzo 2012)
Oggi è sviluppata e gestita da due società del settore( Offensive Security e Tiger Security )
Utilizzata da agenzie di intelligence e reparti governativi della difesa.
www.backtrack-linux.orgStefano Fratepietro
sabato 30 giugno 12
7
BackTrack Linux
Emanuele GentiliRed
Team
“ Se avessi avuto Back|Track Linux qualche anno fa, mi avrebbe fatto risparmiare molto tempo.”Kevin D. Mitnick
“ Back|Track è la via più veloce per andare dal boot del sistema locale all’ accesso root del sistema che vuoi attaccare ”H.D. Moore
“ Back|Track è l’ arma utilizzata dai ninja hacker. ”Johnny Longwww.nsa.gov
Cyber Defense Exercise
Stefano Fratepietro
sabato 30 giugno 12
8DEFT Linux
Emanuele GentiliBlue T
eam
Stefano Fratepietro
sabato 30 giugno 12
9
DEFT
Emanuele GentiliBlue T
eam
Digital Evidence & Forensic Toolkit
www.deftlinux.net
Nato nel 2005 in collaborazione con la cattedra del corso di Informatica Forense dell’Università degli studi di Bologna. Dal 2007 diventa un progetto indipendente.
Fornisce una serie di soluzioni multi piattaforma per la risoluzione di problematiche di Computer Forensics, Incident Response e Cyber Intelligence
Team composto da 9 persone, tutte italiane, di cui 2 in forza presso la GdF e la Polizia Postale
Stefano Fratepietro
sabato 30 giugno 12
10Il Panorama
Emanuele GentiliBlue T
eam
Stefano Fratepietro
sabato 30 giugno 12
11
Il panorama attuale
Emanuele GentiliBlue T
eam
Ethical Hackers Black Hat HackerHacktivisti
Collaborazione
Aziende, Banche e PrivatiGoverno BGoverno A
Attacchi inform
aticiProfilazione e contrasto
Atta
cchi
info
rmat
ici
Collaborazione
Profilazione e contrasto
Attacchi informatici
?
Red Team Stefano Fratepietro
sabato 30 giugno 12
12
Emanuele Gentili
‣ 1. Public Broadcasting System http://www.pbs.org/
‣ 2. Bethblog http://www.bethblog.com/
‣ 3. British Telecom http://www.bt.com/
‣ 4. ExxonMobil http://www.exxonmobil.com
‣ 5. Royal Dutch Shell http://www.shell.com/
‣ 6. Walmart http://www.walmart.com/
‣ 7. British Petroleum http://www.bp.com
‣ 8. Sinopec http://sinopec.com/
‣ 9. Chevron http://www.chevron.com/
‣ 10. State Grid Corporation of China http://www.sgcc.com.cn
‣ 11. Toyota http://www.toyota-global.com/
‣ 12. PetroChina http://www.petrochina.com.cn
‣ 13. Japan Post Holdings http://www.japanpost.jp
‣ 14. Vitol http://www.vitol.com
‣ 15. Glencore http://www.glencore.com/
‣ 16. Volkswagen http://www.volkswagenag.com
‣ 17. Fannie Mae http://www.fanniemae.com
‣ 18. Allianz https://www.allianz.com
‣ 19. Hewlett-Packard http://www.hp.com/
‣ 20. AT&T http://www.att.com
‣ 21. Carrefour http://www.carrefour.com/
‣ 22. AXA http://www.axa.com
‣ 23. Assicurazioni Generali http://www.generali.com
‣ 24. Cargill http://www.cargill.com/
‣ 25. Bank of America https://www.bankofamerica.com/
‣ 26. Tesco http://www.tesco.com/
‣ 27. Apple http://www.apple.com/
‣ 28. IBM http://www.ibm.com
‣ 29. Avia http://www.aviva.com/
‣ 30. Wells Fargo https://www.wellsfargo.com/
‣ 31. KPMG http://www.kpmg.com
‣ 32. Kroger http://www.kroger.com
‣ 33. Rio Tinto http://www.riotinto.com/
‣ 34. Bank of China http://www.boc.cn
‣ 35. Mitsubishi http://www.mitsubishicorp.com
‣ 36. Reliance Industries Limited http://www.ril.com/
‣ 37. Dongfeng Motor http://www.dfmc.com.cn/
‣ 38. Maersk http://www.maersk.com
‣ 39. Saint-Gobain http://www.saint-gobain.com
‣ 40. UniCredit http://www.unicreditgroup.eu
‣ 41. Nokia http://www.nokia.com
‣ 42. Posco http://www.posco.com
‣ 43. MetLife http://www.metlife.com/
#OpNewSon
Stefano FratepietroBlue T
eam
http://pastebin.com/3QW97ADi
sabato 30 giugno 12
13
La situazione Italiana
Emanuele GentiliBlue T
eam
'Cybercooperation, cyberwarfare and cybersecurity on the eve of 21st Century' (Roma)
Senatore Esposito: “L'Italia - spiega il senatore Esposito - è impreparata mentalmente e strutturalmente ad affrontare gli attacchi informatici alle sue infrastrutture digitali. Occorre al più presto una cabina di regia che coordini, con il livello politico, la difesa informatica presso la Presidenza del Consiglio, ispirata a qualche modello già adottato da altri stati sensibili a questo problema. C'è anche un'altra carenza italiana: manca un centro di raccolta dei dati sugli attacchi. L'Italia non può devolvere la propria sovranità agli Usa o alla Nato”.
sabato 30 giugno 12
14
La Cyberwar
Emanuele GentiliBlue T
eam
Il ciberspazio è un campo di battaglia come nessun altro prima.
Nel cyberspace i nemici non mostrano bandiere, non è possibile definire la loro posizione e qualunque astuzia può essere utilizzata come nuovo vettore di attacco.
Non ci sono, di fatto, algoritmi speciali o strumenti a disposizione esclusiva di una sola delle parti. Nessun gruppo e nessun singolo governo è stato infatti in grado di monopolizzare lo sviluppo di armi digitali.
I rapporti di forza tra nemici non hanno nessuna attinenza con quelli che siamo abituati ad ritenere validi per il mondo fisico.
Stefano Fratepietro
sabato 30 giugno 12
15
La Cyberwar
Emanuele GentiliBlue T
eam
Non esiste un codice civile, penale o militare universalmente riconosciuto. Ogni contendente, nei fatti, non segue altro che che le proprie regole. Nel ciberspazio la guerra è una lotta tra etiche ed intelligenze (o demenze?).
Nella rete ogni battaglia è spesso combattuta senza conoscere effettivamente le risorse, sia economiche sia tecnologiche, del proprio avversario.
Recuperare gli indizi di un attacco, le “evidenze”, è compito degli esperti di computer forensic. Sulla base delle loro indicazioni possono essere dedotte strategie, tecnologie e la reale (o presunta tale) identità dei nemici.
Stefano Fratepietro
sabato 30 giugno 12
16Strategie e ProcessiOperativi
Emanuele GentiliBlue T
eam
Stefano Fratepietro
sabato 30 giugno 12
17
Introduzione Strategie e Processi Operativi(Blue Team)
Emanuele Gentili
Attività preventive:
1. Implementare policy di verifica con un approccio di “sicurezza offensiva” (aumentare la sicurezza della propria infrastruttura attaccandola, verificando ed
eliminando vulnerabilità - avvalendosi di operatività amica - prima che queste attività le faccia qualcun altro, magari con cattive intenzioni).
2. Predisporre piani di business continuity
3. Utilizzare strumenti GRC (Governance, Risk Management, and Compliance) e SIEM (Security Information and Event Management)
Blue Tea
m
Stefano Fratepietro
sabato 30 giugno 12
18
Introduzione Strategie e Processi Operativi(Blue Team)
Emanuele Gentili
Attività a seguito della individuazione di unproblema/anomalia
Attività di verificaSpegnimento ed
acquisizione dei server in produzione
Analisi ed Investigazione
Blue Tea
m
Stefano Fratepietro
sabato 30 giugno 12
19
Battefield forensic
Emanuele GentiliBlue T
eam
Acquisizione dati in ambiente ostile richiedono strumenti tecnologici standard ma nuove metodologie e protocolli.
Le unità operative sul terreno comunicano tra loro digitalmente, con continuità, tra loro e con le strutture di comando (lasciando a loro volta “evidenze” di comunicazione).
Richiede formazione specifica del personale coinvolto nelle operazioni (esempio: gestione degli strumenti e dei supporti da analizzare successivamente alle operatività sul campo).
Stefano Fratepietro
sabato 30 giugno 12
20
Battefield forensic
Emanuele GentiliBlue T
eam
Stefano Fratepietro
Joint special operation university
https://jsou.socom.mil/Pages/Default.aspx
https://jsou.socom.mil/Pages/2009JSOUPublications.aspx
sabato 30 giugno 12
21Strategie e ProcessiOperativi
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
22
Introduzione Strategie e Processi Operativi(Red Team)
Emanuele Gentili
Cyber Intelligence
Penetration
IndividuazioneTARGET
WorkFlow di una attivitàintrusiva strutturata
Mantenimento Accesso
Privilege Escalation
Attività
Diversivo
?
Red Te
amStefano Fratepietro
sabato 30 giugno 12
23
Cyber Intelligence
Emanuele GentiliRed
Team
Individuare un punto di accesso a volte è più semplice di quanto si possa pensare.
Iniziando dalle basi:
DNS Google Dork
Stefano Fratepietro
sabato 30 giugno 12
24
Cyber Intelligence (DNS)
Emanuele GentiliRed
Team
Stefano Fratepietro
CENSORED
sabato 30 giugno 12
25
Cyber Intelligence (DNS)
Emanuele GentiliRed
Team
Stefano Fratepietro
CENSORED
sabato 30 giugno 12
26
Cyber Intelligence (DNS)
Emanuele GentiliRed
Team
Stefano Fratepietro
CENSORED
sabato 30 giugno 12
27
Cyber Intelligence (DNS)
Emanuele GentiliRed
Team
Stefano Fratepietro
CENSORED
sabato 30 giugno 12
28
Cyber Intelligence (Google Dork)
Emanuele GentiliRed
Team
Stefano Fratepietro
CENSORED
sabato 30 giugno 12
29
Cyber Intelligence (Google Dork)
Emanuele GentiliRed
Team
Stefano Fratepietro
CENSORED
sabato 30 giugno 12
30
Penetration
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
31
Penetration
Emanuele GentiliRed
Team
OLD SCHOOL HACKING
DO IT BY HAND
Stefano Fratepietro
sabato 30 giugno 12
32
Penetration
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
33
Penetration
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
34Cronistoria delle operazioni recenti
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
35
Hacktivisti vs Governi
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
36
Hacktivisti vs Aziende
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
37
Blackhat vs Aziende, Banche e Privati
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
38
Governi VS Hacktivisti
Emanuele GentiliBlue T
eam
Stefano Fratepietro
sabato 30 giugno 12
39
Governi VS Blackhat
Emanuele GentiliBlue T
eam
Stefano Fratepietro
sabato 30 giugno 12
40
Governi VS GOVERNI
Emanuele Gentili
Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici del governo americano.Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe.”
Blue Tea
m
Stefano Fratepietro
sabato 30 giugno 12
41INFORMAZIONEDEGNA DI NOTA
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
42
L’organizzazione CYBER militare cinese
Emanuele GentiliRed
Team
Stefano Fratepietro
CENSORED
sabato 30 giugno 12
43Conclusioni RED TEAM
Emanuele GentiliRed
Team
Stefano Fratepietro
sabato 30 giugno 12
44
Emanuele GentiliRed
Team
‣ Gli attaccanti risiedono in posizione privilegiata.
‣ I fattori “tempo” e “risorse” sono spesso fondamentali ma non necessari.
‣ A problematiche “Umane” non esiste cura (ingegneria sociale).
Conclusioni Red Team
Stefano Fratepietro
sabato 30 giugno 12
45Conclusioni BLUE TEAM
Emanuele GentiliBlue T
eam
Stefano Fratepietro
sabato 30 giugno 12
46
Conclusioni Blue Team
Emanuele GentiliBlue T
eam
‣ La miglior difesa è la conoscenza delle tecniche di attacco.
‣ Architetture complesse richiedono un’attenta progettazione.
‣ Eseguire “cyber defence excercises”.
‣ A problematiche “Umane” non esiste cura (curare la formazione del personale).
Stefano Fratepietro
sabato 30 giugno 12
47Grazie perl’attenzione
Emanuele Gentili Stefano Fratepietro
sabato 30 giugno 12