All about cyber crime

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Luca Savoldi

Corso di INFORMATICA FORENSE (A.A. 2013/2014)

All about CyberCrime

Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina)

DirICTo

CORSO DI INFORMATICA FORENSE – All about Cyber Crime

di Luca Savoldi

Cyber Security vs IT Security

• Con il termine sicurezza informatica o IT Security si intende quel ramo dellinformatica che si occupa dell'analisi delle vulnerabilità, del rischio, delle minacce o attacchi e della successiva protezione dell'integrità fisica (hardware) e logico-funzionale (software) di un sistema informatico e dei dati in esso contenuti o scambiati in una comunicazione con un utente.

• Tale protezione è ottenuta attraverso misure di carattere tecnico-organizzativo e funzionali tese ad assicurarne: – l'accesso fisico e/o logico solo ad utenti autorizzati (autenticazione); – la fruizione di tutti e soli i servizi previsti per quell'utente nei tempi e nelle modalità previste dal sistema (disponibilità); – la correttezza dei dati (integrità); – l'oscuramento dei dati (cifratura); – la protezione del sistema da attacchi di software malevoli per garantire i precedenti requisiti.

• Sono entrambi corretti, IT Security rappresenta meglio il requisito tecnologico da soddisfare, Cyber Security rappresenta l’azione di difendersi da cyber-minacce

• Cyber? Perché Cyber?

http://it.wikipedia.org/wiki/Informatica

http://it.wikipedia.org/wiki/Informatica

http://it.wikipedia.org/wiki/Rischio

http://it.wikipedia.org/wiki/Hardware




http://it.wikipedia.org/wiki/Software

http://it.wikipedia.org/wiki/Sistema_informatico

http://it.wikipedia.org/wiki/Telecomunicazioni

http://it.wikipedia.org/wiki/Telecomunicazioni

http://it.wikipedia.org/wiki/Autenticazione

http://it.wikipedia.org/wiki/Autenticazione

http://it.wikipedia.org/wiki/Disponibilit%C3%A0

http://it.wikipedia.org/wiki/Disponibilit%C3%A0

http://it.wikipedia.org/wiki/Integrit%C3%A0_dei_dati

http://it.wikipedia.org/wiki/Integrit%C3%A0_dei_dati

http://it.wikipedia.org/wiki/Cifratura

http://it.wikipedia.org/wiki/Cifratura

http://it.wikipedia.org/wiki/Malware


di Luca Savoldi

CyberSpace • La nostra civilta si e dotata molto velocemente di un’infrastruttura tecnologica / informatica

creata rincorrendo il mercato, senza un progetto unitario, e l’ha applicata su scala globale a problemi per cui non era stata pensata, senza porre tra i requisiti la sicurezza (che fino a ieri e stata considerata un “costo” da evitare ed un impedimento). Questa infrastruttura pero e diventata talmente pervasiva e fondamentale da essere considerata ormai una “nuova dimensione” a se, il CyberSpace.

• Il CyberSpace è una sorta di etere elettronico nel quale avvengono “cose” in tempo reale, al di la delle barriere spaziali del mondo fisico, dotato di una serie di caratteristiche interessanti (proprie o emergenti):

• E asimmetrico per natura.

• Non e sotto il controllo di alcun singolo Stato nazionale (ed anzi li rende obsoleti).

• Per la sua struttura di network, genera interdipendenza (=battlespace).

• Contrariamente a quanto si pensa, e estremamente fragile e privo di resilienza.

• Al suo interno l’unita di misura del potere e la conoscenza (un fattore immateriale).


di Luca Savoldi

CyberWar (Cyber*)

• Il cyberspace e stato definito formalmente dall'Amministrazione USA il "quinto dominio di combattimento", dopo terra, acqua, aria e spazio.

• Si sono istituiti i reparti dediti al CyberWarfare:

• CyberDefence

• CyberWar team

• (e le divisioni “anti”:

Anti CyberTerrorism,

anti CyberCrime, etc)


di Luca Savoldi

Safety vs Security

• implica la salvaguardia o la protezione da eventi o circostanze generalmente indipendenti da precise volontà (eventi accidentali) che comportano alta potenzialità lesiva. Es. Se l’acceleratore dell’auto si rompe ci deve essere un sistema che impedisce che l’auto rimanga accelerata

• Safety • Security

• implica la salvaguardia o la protezione da attacchi, aggressioni, danni contro la persona o i beni, perpetrati volontariamente da individui o gruppi di persone con l'intenzione di nuocere, a causa di contrapposizioni (belliche, razziali, ecc.) o di attività criminali e terroristiche. La prevenzione di tali atti è, quindi, la realizzazione della capacità di difendersi. Es. ci deve essere un sistema che impedisce che un’attaccante esterno comandi l’acceleratore per far rimanere l’auto accelerata

• Possiamo affermare 2 cose:

• La Security deve proteggere la Safety • Il termine italiano sicurezza è troppo vago


di Luca Savoldi

CyberSecurity

• Il cyber-space è costituito dall’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi. Vi sono dunque inclusi: internet, le reti di comunicazioni, i sistemi attuatori di processo e qualsiasi apparecchiatura dotata di connessione di rete.

• La cyber-security, invece, è la condizione in cui il cyber-space risulti protetto rispetto ad eventi, di natura volontaria od accidentale, consistenti nell’acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittime ovvero nel blocco dei sistemi informativi, grazie ad idonee misure di sicurezza fisica, logica e procedurale.

(dalla DIRETTIVA 2008/114/CE DEL CONSIGLIO DELL’UNIONE EUROPEA)


di Luca Savoldi

Cyber-Riflessione

• Quanto è importante che questo armamento non abbia

bug?


di Luca Savoldi

CyberCrime • Uno spazio così vasto e privo di controllo non poteva non essere preso di mira dai criminali.

• Il valore del CyberCrime ha superato (di molto) il valore del mercato della droga

• I motivi sono “semplici”: • Invisibilità:nessuno vede il crimine che compi; nessuno ti conosce. Se commetto una rapina ci metto la

faccia, rischio la vita; se commetto una frode su internet nessuno mi vede, sono sulla mia poltrona di casa.

• Intoccabilità: per gli stessi motivi di sopra, ho la sensazione di essere intoccabile in quanto “non sono io”

• Poco sforzo, tanta resa: una sola azione, migliaia o milioni di truffati. Se commetto una truffa nel mondo reale la faccio “one to one”, su internet a milioni di persone.

• Geoposizionamento: i criminali tendono a commettere azioni nei paesi/città vicine. Su internet cambio continente senza alzarmi dalla poltrona.

• Cooperazione world wide: facilità di allestire una (ma anche più di una) banda senza distinzione di luogo e senza conoscersi

• …


di Luca Savoldi

CyberCrime | Black Market

•Esiste un vero e proprio mercato nero del cybercrime il cui danno prodotto è stato stimato valere complessivamente tra i trecento e i mille miliardi di dollari (1 trilione!!)

1.000.000.000.000$

•Un impatto sul PIL mondiale che va dallo 0,4 all’1,4%

(Fonte Mcafee e CSIS ottobre 2013)


di Luca Savoldi

Ruoli del mercato nero

•Un attacco di phishing riuscito comprende di solito una serie di attività cui partecipano diverse persone, ognuna con un ruolo diverso.

•Generalmente gli aggressori non dispongono di tutte le competenze necessarie per svolgere tutte queste attività e devono quindi fare affidamento l'uno sull'altro per coprire tutte le aree di specializzazione.

• Fortunatamente, molti phisher non sembrano avere una preparazione tecnica abbastanza avanzata per sfruttare le vulnerabilità del software e introdursi nei sistemi, né molti di loro sembrano essere in grado di automatizzare le proprie truffe mediante un sofisticato software bot o altri programmi di utilità specializzati.

CyberCrime | L’organizzazione


di Luca Savoldi

CyberCrime | Gestione del lavoro


di Luca Savoldi

CyberCrime | Black Market

Ruoli del mercato nero

•Alcuni dei diversi ruoli necessari per portare a compimento un attacco:

• Spammer: responsabile dell'invio di e-mail di phishing al maggior numero di indirizzi di e-mail possibile.

• Progettisti Web: responsabili della creazione di siti Web nocivi che assomigliano il più possibile a quelli legittimi da emulare.

• Exploiter: in genere aggressori dilettanti noti come "script kiddies", ragazzini degli script, i quali identificano i computer vittima (chiamati "root") che saranno utilizzati per ospitare un sito di phishing o per trasmettere i messaggi di spamming. In alcuni casi, gli exploiter si introducono direttamente nei database di carte di credito per raccogliere i dati, saltando del tutto la fase di phishing.

• Cassieri: responsabili del ritiro dei fondi da una carta di credito o da un conto bancario compromessi e della trasformazione in denaro per conto del phisher.

• Ricettatori: questi membri sono in grado di ricevere merci acquistate con i dati di carte di credito rubati presso un punto di raccolta non rintracciabile.I beni acquistati con informazioni su carte di credito e conti correnti bancari rubate sono considerati "carded" e i truffatori di questo tipo "carder”.


di Luca Savoldi

CyberCrime | Black Market Merci sul mercato nero

•Phisher e truffatori commerciano in un'ampissima varietà di articoli. Di seguito viene presentato un elenco parziale di articoli considerati di valore:

• numeri di carte di credito: di solito, perché questi abbiano valore devono essere accompagnati anche

dai numeri CVV2 (numeri di 3-4 cifre sul retro della carta)

• accesso root o amministrativo a server: server violati ai quali hanno accesso i truffatori vengono utilizzati per ospitare i siti di phishing e sono normalmente chiamati "root" dai partecipanti a questi forum e chat.

• elenchi di indirizzi di e-mail: vengono utilizzati per pubblicità spamming o come destinatari di una truffa di phishing.

• conti di servizi di pagamento on-line, come e-gold. E-gold è popolare tra i truffatori perché il denaro viene inviato immediatamente e non è generalmente rintracciabile.

• valuta contraffatta: il denaro contraffatto viene stampato e inviato tramite posta ordinaria

• conti bancari on-line.


di Luca Savoldi

CyberCrime | Black Market Dove si trova questo mercato nero? Come lo cerco?

• Nonostante internet sia un territorio estremamente vasto, la parte nota e direttamente raggiungibile rappresenta solamente il 4/5% dei contenuti on line

4% Web

96% Deep Web


di Luca Savoldi

CyberCrime | Deep Web Deep Web è tutto ciò che non è indicizzabile:

• contenuti dinamici: pagine web dinamiche, ovvero pagine Web il cui contenuto viene generato sul momento dal server, che possono essere richiamati solo compilando un form o a risposta di una particolare richiesta;

• pagine non collegate: pagine Web che non sono collegate a nessun'altra pagina Web. Se l'accesso non è impedito da adeguate impostazioni di sicurezza, il motore indicizza la parent directory del sito, che contiene non solo le pagini visibili, ma tutto ciò che è caricato nel server ospitante;

• pagine ad accesso ristretto: siti che richiedono una registrazione o comunque limitano l'accesso alle loro pagine impedendo che i motori di ricerca possano accedervi;

• script: pagine che possono essere raggiunte solo attraverso link realizzati in javascript o in Flash e che quindi richiedono procedure particolari;

• contenuti non di testo: file multimediali, archivi Usenet, documenti scritti in linguaggio non HTML, in particolare non collegati a tag testuali (tuttavia alcuni motori di ricerca come Google sono in grado di ricercare anche documenti di questo tipo).

http://it.wikipedia.org/wiki/Pagine_web_dinamiche









http://it.wikipedia.org/wiki/Javascript

http://it.wikipedia.org/wiki/Adobe_Flash




http://it.wikipedia.org/wiki/Usenet

http://it.wikipedia.org/wiki/HTML





di Luca Savoldi

CyberCrime | Tor | onion

.onion nel profondo degli abissi per il totale anonimato

•.onion è un pseudo dominio di primo livello che identifica un servizio invisibile, cifrato e completamente anonimo raggiungibile unicamente attraverso la rete tor.

•Il dominio non è registrato in alcun dns e praticamente per intern non esiste. Non può essere raggiunto in alcun modo se non passando dalla rete tor.

•Nel modno onion nessun contenuto è indicizzato e si può raggiungerlo unicamente se se ne conosce l’url specifico (che non è mai propriamente “parlante”).


di Luca Savoldi

Tor | Privacy

•Un problema fondamentale della comunicazione su internet è l’impossibilità di avere una vera privacy in quanto il destinatario di una comunicazione può leggere gli header per vedere cosa hai inviato.

•Stessa cosa possono fare gli intermediari, come i fornitori di servizi Internet, ma anche intermediari non autorizzati.

•Con una forma molto semplice di analisi del traffico ci si può piazzare belli comodi da qualche parte tra il mittente e il destinatario e guardare le intestazioni.

•Ma ci sono anche più potenti tipi di analisi del traffico. Alcuni attaccanti spiano molte parti di Internet e usano sofisticate tecniche per carpire schemi di comunicazione di molte organizzazioni e individui.

•La crittografia non aiuta contro questi aggressori, poiché questo nasconde solo il contenuto del traffico Internet, non le intestazioni.


di Luca Savoldi

Tor | Network

•L'idea di Tor è quella di usare un percorso tortuoso e difficile da seguire per un ipotetico inseguitore - e poi periodicamente cancellare le tue orme.

•Invece di prendere un percorso diretto dalla sorgente alla destinazione, i pacchetti nella rete Tor prendono un percorso casuale attraverso molti relay che ne coprono le tracce, in modo che nessun osservatore situato in un singolo punto possa dire da dove provengono i dati o dove sta andando.

•Per creare un percorso di rete privato con Tor, il software per l'utente o il cliente costruisce incrementalmente un circuito di connessioni cifrate attraverso i relay della rete.

•Il circuito viene esteso un salto alla volta, e ogni relay lungo il percorso conosce solo quale relay ha dato i dati. Nessun relay conosce il percorso completo che il pacchetto ha percorso.


di Luca Savoldi

Tor | Network

•Il client negozia un nuovo insieme di chiavi crittografiche per ogni salto lungo il circuito, per assicurarsi che ciascun nodo non possa tracciare queste connessioni che passano attraverso.

•Una volta che un circuito è stabilito, molti tipi di dati possono essere scambiati e diversi tipi diversi di applicazioni software possono essere distribuiti attraverso la rete Tor.

•Poiché ogni relay non vede che un singolo salto nel circuito, né un intercettatore e neppure un relay compromesso possono utilizzare l'analisi del traffico per collegare la sorgente e la destinazione della connessione. Tor funziona solo con i flussi TCP e può essere usato da qualsiasi applicazione con il supporto SOCKS.

•Per l'efficienza, il software Tor utilizza lo stesso circuito per le connessioni che avvengono negli stessi dieci minuti o giù di lì. Le richieste successive sono fornite a un nuovo circuito, per evitare che nessuno possa collegare le azioni precedenti con quelli nuovi.


di Luca Savoldi

Onion Hidden Service

• La pubblicazione di servizi tramite Onion oltre alle garanzie di privacy fornite dalla rete Tor introduce ulteriori layer di sicurezza per ottenere l’assoluta garanzia di irrintracciabilità e impossibilità di monitoraggio delle attivvità.


di Luca Savoldi

Onion Hidden Service • La pubblicazione di servizi tramite Onion oltre alle garanzie di privacy fornite dalla

rete Tor introduce ulteriori layer di sicurezza per ottenere l’assoluta garanzia di irrintracciabilità e impossibilità di monitoraggio delle attivvità.


di Luca Savoldi

• Su Cipolla 2.0 oltre alle “solite cose” si trovano biglietti per le metro, per Alitalia, per Trenitalia (ma occhio alle sorprese)

• Ticket Alitalia al 50%

CyberCrime Supermarket | Italian store


di Luca Savoldi

CyberCrime Supermarket | Italian store • Trenitalia (50%)


di Luca Savoldi

• La vera piazza Agorà è SilkRoad

• Punto di riferimento assoluto, ci si trova tutto quello che serve:

• Botnet

• Liste di mail

• Liste di identità complete

• Documenti falsi

• Pacchetti di like per social (facebook, instagram, etc)

• Carte di credito

• Carte di credito anonime

• Armi

• Killer..

• Ma anche Droghe, tante droghe.

CyberCrime Supermarket | SilkRoad


di Luca Savoldi

• In seguito a un articolo apparso sul blog Gawker, i senatori statunitensi Charles Schumer e Joe Manchin hanno inviato una lettera al Procuratore generale Eric Holder e all'Amministratore della DEA Michele Leonhart per chiedere la chiusura di Silk Road.

• In una conferenza stampa Schumer ha descritto il sito come segue: « Si tratta chiaramente di un one-stop shop per le droghe illegali, che rappresenta il tentativo più sfacciato di vendere droghe online che abbiamo mai visto. È sfacciato anni luce più di ogni altra cosa. »

• Successivamente, gli amministratori di Silk Road hanno pubblicato sul loro forum questa risposta: « Il dado è stato lanciato e ora vedremo cosa uscirà. Intensificheremo gli sforzi per contrastare i loro attacchi e rendere il sito più resistente possibile, questo significa che per un po' saremo meno sensibili ai messaggi che ci riguardano. Sono sicuro che questa notizia spaventerà qualcuno, ma dobbiamo vincere la battaglia, una nuova era nascerà. Anche se perdiamo, il genio è uscito dalla bottiglia; stanno combattendo una guerra persa in partenza. »



di Luca Savoldi

• Il 3 ottobre 2013 Silk Road viene chiuso dall'FBI.


• Dopo questi eventi la notorietà del sito e di Tor in genere è esplosa e in pochi giorni il bitcoin ha subito un aumento di valore di quasi il 500% rendendo di fatto Ross Ulbricht uno degli uomini più ricchi del mondo (si stima un valore superiore ai 60.000milioni di $).


di Luca Savoldi

• a/k/a Also Know As

• Narcotics Trafficking..


di Luca Savoldi


di Luca Savoldi

• Ross William Ulbritcht (aka Dread Pirate Roberts, aka DPR, aka Silk Road), sei stato beccato.

• ..e Silk Road è finalmente finita

• ..o no?


di Luca Savoldi

• No! Dopo nemmeno 1 mese SilkRoad è tornato online e continua ad essere il supermarket del cybercrime (e a generare soldi)


di Luca Savoldi

• Il portale è lo stesso

• L’admin e gestore risulta essere Dread Pirate Roberts, aka

DPR, aka Silk Road

• Eppure Ross William Ulbritcht (aka Dread Pirate Roberts,

aka DPR, aka Silk Road) è in carcere..


di Luca Savoldi

• Il CyberSpace è un luogo immateriale e impalbabile in cui le azioni prodotte al suo interno producono conseguenze estremamente tangibili e “reali”.

• Le dimensioni e le caratteristiche del CyberSpace sono così vaste, dinamiche, da renderne praticamente impossibile il controllo

• L’impianto legislativo e normativo affronta unicamente le conseguenze reali

• Se controllare il CyberSpazio è tecnicamente difficile e complesso (e non solo non ci stiamo riuscendo, ci stiamo allontanando sempre più dall’obbiettivo), normarlo e legiferarlo (si dice così?) è una sfida apocalittica.


di Luca Savoldi


di Luca Savoldi

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati

dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per

crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

All about cyber crime

Presentations & Public Speaking

Transcript of All about cyber crime