RILEVAZIONE “LIVE” DI ATTACCHI INFORMATICI DA E VERSO …

CENTRO ALTI STUDI PER LA DIFESACentro Militare Studi Strategici (CeMiSS)Ce o a e S ud S a eg c (Ce SS)Osservatorio per la Sicurezza Nazionale (OSN)

RILEVAZIONE “LIVE” DI ATTACCHI INFORMATICI DA E VERSO L’ITALIA

CONVEGNO“La sicurezza cibernetica nello scenario della

cooperazione civile e militare”cooperazione civile e militareRoma, 30 Novembre 2011

Relatore:Raoul Chiesa, @ Mediaservice.netGdL “Cyberworld” ‐ Sottogruppo ROSA

Sommario’ dCENTRO ALTI STUDI PER

SommarioL’ideaProblematiche riscontrate

LA DIFESACeMiSS La soluzione

T CEmilio Bartezzaghi

Milano, 20/01/2006

Team CymruIl video

Categorie di attacchiStatistiche

Commenti finaliShow Floor (Case Study 1 & 2)Show Floor (Case Study 1 & 2)Contatti, Q&AC ff B k!Coffee Break!

CENTRO ALTI STUDI PER LA DIFESA

CeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006

L’IDEAL’IDEA

L’idea

CENTRO ALTI STUDI PER

Si parla in continuazione di Cybercrime e di Cyberwar, ma in pochi hanno effettivamente la possibilità di “toccare con mano”

LA DIFESACeMiSS

p pciò che succede realmente ogni giorno.

– Il numero di Data Breach a livello mondiale è in costante aumento ed

Emilio Bartezzaghi

Milano, 20/01/2006

ha oramai raggiunto cifre davvero importanti - e preoccupanti! (cfr. “Verizon Data Breach Investigations Report”, redatto annualmente da Verizon con United States Secret Service e la Dutch High Techda Verizon con United States Secret Service e la Dutch High TechCrime Unit; http://securityblog.verizonbusiness.com) .

– Inoltre, gli attacchi scoperti sono solo la classica punta dell’iceberg.

Durante le prime riunioni del GdL, è dunque nata all’interno del Sottogruppo Rosa l’idea di realizzare una “simulazione di Sottogruppo Rosa l idea di realizzare una simulazione di attacco”.

A i di l’i t i di f “ i ” i li Avevamo quindi l’intenzione di fare “respirare” e visualizzare graficamente quello che accade.

PROBLEMATICHE RISCONTRATECENTRO ALTI STUDI PER

PROBLEMATICHE RISCONTRATE

LA DIFESACeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006

Problematiche riscontrate


Necessità di catalogazione degli attacchi

– Differenti tipologie e sottocategorieLA DIFESA

CeMiSS Necessità di una terminologia comune -> “Glossario “

Emilio Bartezzaghi

Milano, 20/01/2006

Simulazione di “attacchi hacking”:

– Necessità di risorse umane con skill estremamente alti

– Non disponibilità di hardware e bandwidth dedicati

– Progettazione e costruzione di siti target e sistemi host con l bilità t livulnerabilità puntuali:

• Time-consuming• Costo del personale

Perdita di “appealing”

– Al contrario di quanto Hollywood ci fa vedere è molto noioso Al contrario di quanto Hollywood ci fa vedere, è molto noioso osservare videate nere (shell) e comandi tipicamente incomprensibili per molti…

LA SOLUZIONECENTRO ALTI STUDI PER

LA SOLUZIONE

LA DIFESACeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006

La soluzione


La soluzione è stata quella di trovare un compromesso tra quello che vedevamo come “l’output” - a livello grafico/visivo e le necessità precedentemente LA DIFESA

CeMiSS

grafico/visivo - e le necessità precedentemente individuate.

– Senza impattare sui budget (comunque non disponibili)

Emilio Bartezzaghi

Milano, 20/01/2006

Se a patta e su budget (co u que o d spo b l )

– Evitando “intoppi burocratici” quali le liberatorie legali (nel caso appunto di “attacchi” simulati ma realmente lanciati, verso Enti e/o aziende facenti parte del GdL).

Nel mondo, una serie di attori (Enti, Aziende, Community) rilevano costantemente gli attacchi e le tendenze e le novità nel mondo del cybercrime.

Team Cymru HostExploit CyberDefCon Shadow Server – Team Cymru, HostExploit, CyberDefCon, Shadow Server, SPAMhaus, APWG, etc..

Il “workaround” è stato quindi quello di utilizzare q qquesti dati reali e rappresentarli graficamente(Rilevazione e Registrazione).

CENTRO ALTI STUDI PER RULA DIFESA

CeMiSS

MR

Emilio Bartezzaghi

Milano, 20/01/2006 CYM

m C

eam

Te

Team Cymru


Team Cymru NFP è un Security Resarch think-tank no-profit della Team Cymru Inc., una Internet Security Research Firm: i di I id t H dli S it T i i è b t LA DIFESA

CeMiSS

si occupa di Incident Handling e Security Training; è basato negli USA (Florida), con personale di 35 paesi diversi.

Il personale è composto da ex “Law Enforcement Officers”Emilio Bartezzaghi

Milano, 20/01/2006

Il personale è composto da ex Law Enforcement Officersda EU e US, esperti legali, ingegneri e programmatori.

Si occupa della formazione per l’Interpol (“UE -(Underground Economy”, Settembre, Lione, Francia) e collabora con 60 LEA nel mondo.

Collaborazione con i maggiori player di mercato e le principali Security Community.

Steve Santorelli > Key Note Speaker al Security Steve Santorelli -> Key Note Speaker al Security Summit del CLUSIT nel 2009 (edizione di Milano).

“Trusted network” basato su rapporti di fiducia personali.pp p

– co-operazione sul campo.

Bypass delle formalità -> elevata operatività pratica.

Il VIDEOIl videoCENTRO ALTI STUDI PER

Il VIDEOIl videoLA DIFESA

CeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006

Il video


Software di visualizzazione per Apple MacOSX, creato da Marcel van den Berg (Senior Analyst ): prende in input i dati provenienti LA DIFESA

CeMiSS

van den Berg (Senior Analyst,): prende in input i dati provenienti dal Cybercrime Data Center di Team Cymru.

– Esportato in .mov.

Emilio Bartezzaghi

Milano, 20/01/2006

Esportato in .mov.

I dati si riferivano a 24 ore di attacchi da e verso l’Italia.

– Dopo le prime release ad uso interno, con Marcel e Steve ho deciso di estendere il timeframe a 72 ore (3 giorni) per rendere maggiormente l’idea dell’esponenzialità degli attacchi.p g

– 170.000 entry uniche nel periodo preso in esame del 6-8 Luglio 2011 (NOTA: un singolo indirizzo IP è contato solo il primo giorno di avvistamento, anche se ha molteplici istanze).

Il campione si basa su un totale di 184 giorni relativi al TLD “.it”, p gagli AS ed alle classi di indirizzi IP pubblici attestati in Italia.

Categorie di attacchi


Le seguenti categorie di attacchi sono state prese in considerazione :

1. Open ResolversLA DIFESA

CeMiSS

1. Open Resolvers

2. Spam

3. Botnet CC

Emilio Bartezzaghi

Milano, 20/01/2006

4. IRC Bots

5. P2P Bots

l6. FastFlux

7. Darknet

8. Malware URL [[

[Categorie di Malware: 14]

9. Phishing

10. Proxies

11. Bruteforce

12 Speedtest12. Speedtest

13. Spreaders

Categorie di attacchi: dettagli / 1


1. Openresolvershttp://it wikipedia org/wiki/DNS Amplification Attack#Server open r

LA DIFESACeMiSS

– http://it.wikipedia.org/wiki/DNS_Amplification_Attack#Server_open_resolver_e_ricorsione

– Si tratta di comunicazioni (di tipo malicious) verso server DNS “open

Emilio Bartezzaghi

Milano, 20/01/2006

resolver” e ricorsivi, al fine di inviare a questi ultimi pacchetti contenenti informazioni falsificate, per l’esecuzione di attacchi di vario tipo (spoofing; hi-jacking; etc) tipicamente utilizzati in azioni di vario tipo (spoofing; hi-jacking; etc), tipicamente utilizzati in azioni di frodi server-side.

2. Spam

– http://it.wikipedia.org/wiki/Spam

– Si tratta di indirizzi IP coinvolti in azioni di spam.

3. Botnetcc

– http://it.wikipedia.org/wiki/Botnet

Si t tt di i di i i IP h gi i lità di C&C– Si tratta di indirizzi IP che agiscono in qualità di C&C(Command&Control, ovverosia la “cabina di regia”) di reti di Botnet.



4. Ircbotshttp://it wikipedia org/wiki/Bot IRC

LA DIFESACeMiSS

– http://it.wikipedia.org/wiki/Bot_IRC

– Si tratta di indirizzi IP coinvolti nella gestione (invio ordini ed azioni, etc) di reti di Botnet attraverso la rete IRC.

Emilio Bartezzaghi

Milano, 20/01/2006 5. p2pbots– http://it.wikipedia.org/wiki/Botnet

– Si tratta di indirizzi IP coinvolti nella gestione (invio ordini ed azioni, t ) di ti di B t t tt ti P t P (P2P) E’ i di etc) di reti di Botnet attraverso reti Peer to Peer (P2P). E’ quindi un

altro sistema utilizzato dai botmaster per controllare i bot sono le reti peer-to-peer (tra queste è compresa la rete di skype). In questo caso la rete p2p viene usata come veicolo per le informazioni che il botmaster invia ai bot.



6. Fastflux(http://it wikipedia org/wiki/Fastflux)

LA DIFESACeMiSS

– (http://it.wikipedia.org/wiki/Fastflux)

– Il Fast Flux è una tecnica utilizzata nelle botnet basata sul DNS per nascondere il phishing e i siti di malware dietro una rete di host

Emilio Bartezzaghi

Milano, 20/01/2006

compromessi che agiscono da proxy e che cambiano in continuazione. Si può anche riferire alla combinazione di reti peer-to-peer, sistemi command-and-control distribuiti load balancing del web e redirezionecommand-and-control distribuiti, load balancing del web e redirezionedi proxy utilizzate per rendere le reti di malware più resistenti rispetto alla loro individuazione e alle contromisure.

– Lo Storm worm è una delle varianti recenti di malware che fa uso di questa tecnica.Gli utenti di internet possono osservare l'uso del fast flux negli attacchi di phishing legati a organizzazioni criminali incluso flux negli attacchi di phishing legati a organizzazioni criminali, incluso l'attacco a MySpace.

– Mentre i ricercatori della sicurezza erano a conoscenza della tecnica almeno da novembre 2006, la tecnica ha ricevuto un'attenzione maggiore da parte della stampa a partire da luglio 2007.



7. Darknethttp://it wikipedia org/wiki/Darknet

LA DIFESACeMiSS

– http://it.wikipedia.org/wiki/Darknet

– Una darknet (in italiano letteralmente: Rete scura) è una rete virtuale privata dove gli utenti connettono solamente persone di cui si fidano.

Emilio Bartezzaghi

Milano, 20/01/2006

Nel suo significato più generale, una darknet può essere qualsiasi tipo di gruppo chiuso e privato di persone che comunicano, ma il nome è più spesso usato nello specifico per reti di condivisione di file (p2p)più spesso usato nello specifico per reti di condivisione di file (p2p).

– Il termine fu originariamente coniato negli anni settanta per designarereti che erano isolate da ARPANET (la vecchia internet) per motivi disicurezza.



8. Malwareurlhttp://it wikipedia org/wiki/Malware

LA DIFESACeMiSS

– http://it.wikipedia.org/wiki/Malware

– Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il

Emilio Bartezzaghi

Milano, 20/01/2006

termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice malignoin italiano è detto anche codice maligno.

– La diffusione di tali software risulta in continuo aumento. Si calcola che nel solo anno 2008 su Internet siano girati circa 15 milioni di malware, di cui quelli circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti, e tali numeri sono destinati verosimilmente ad aumentareverosimilmente ad aumentare.

– La categoria Malwareurl rende quindi in considerazione tutti quegliindirizzi IP da/verso i quali sono state individuate azioni di malware.



8. [Categorie di malware]Virus

LA DIFESACeMiSS

– Virus

– Worm

– Trojan Horse

Emilio Bartezzaghi

Milano, 20/01/2006

j

– Backdoor

– Spyware

– Dialer

– Hijacker

– Rootkit

– Scareware

Rabbit– Rabbit

– Adware

– BatchBatch

– Keylogger

– Rogue Antispyware



9. Phishing– http://it.wikipedia.org/wiki/Phishing

LA DIFESACeMiSS

– In ambito informatico il phishing ("spillaggio (di dati sensibili)", in italiano) è una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la

Emilio Bartezzaghi

Milano, 20/01/2006

finalità del furto d'identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafico e logo dei siti istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc..

– La prima menzione registrata del termine phishing è sul newsgroup di Usenetalt.online-service.america-online il 2 gennaio 1996, malgrado il termine possa essere apparso precedentemente nell'edizione stampata della rivista per essere apparso precedentemente nell edizione stampata della rivista per hacker 2600. Il termine phishing è una variante di fishing (letteralmente "pescare" in lingua inglese),probabilmente influenzato da phreaking e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e all uso di tecniche sempre più sofisticate per pescare dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio “leet”, nel quale la lettera f è comunemente sostituita con ph.



10. Proxieshttp://it wikipedia org/wiki/Proxy

LA DIFESACeMiSS

– http://it.wikipedia.org/wiki/Proxy

– I proxy sono servizi (illegalmente) attivati su sistemi informatici vittima, i quali vengono utilizzati ed abusati al fine di mascherare la

Emilio Bartezzaghi

Milano, 20/01/2006

propria identità digitale (il proprio indirizzo IP) durante il lancio di attacchi informatici o l’esecuzione di frodi informatiche.

11. Bruteforcehttp://it wikipedia org/wiki/Metodo forza bruta– http://it.wikipedia.org/wiki/Metodo_forza_bruta

– Il bruteforce è una tecnica di attacco che si applica a molteplici scenari. Lo scenario più semplice si trova quando un agente di minaccia vuole scoprire una password, per esempio un PIN a 4 cifre: avrà 10.000 possibili combinazioni e, tramite strumenti software automatizzati proverà automaticamente la totalità di dette automatizzati, proverà automaticamente la totalità di dette combinazioni, da 0000 a 9999.



12. SpeedtestIn questa categoria Team Cymry ha inserito le attività di software

LA DIFESACeMiSS

– In questa categoria Team Cymry ha inserito le attività di software malizioso (malicious malware) i quali effettuano dei test di velocità verso gli indirizzi IP target, al fine di valutarne le prestazioni e

Emilio Bartezzaghi

Milano, 20/01/2006

comprendere se sono o meno da ritenersi obiettivi interessanti da violare ed abusare per azioni di cybercrime.

13. Spreaders– In questa categoria rientrano alcuni malware “datati”, quali del In questa categoria rientrano alcuni malware datati , quali del

malware che effettua scansioni di indirizzi IP alla ricerca di vulnerabilità DCOM e così via.

– Come si noterà, la percentuale e il totale degli eventi è pari a zero: la categoria è rimasta in quanto utilizzata precedentemente da Team Cymru per altre ricerche, ma nella presente analisi e nel filmato nonCymru per altre ricerche, ma nella presente analisi e nel filmato nonè stata presa in considerazione.

Statistiche per categorie


CeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006


CeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006


CeMiSS

Now playingEmilio Bartezzaghi

Milano, 20/01/2006

Now playing“ 3d h26 ”“IT_3days_h264.mov”


CeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006

COMMENTI FINALI

Commenti finali

CENTRO ALTI STUDI PER L’idea di effettuare attacchi simulati continua però a piacerci LA DIFESA

CeMiSSmolto…

Vorremmo unirla a case-study puntualiEmilio Bartezzaghi

Milano, 20/01/2006

Vorremmo unirla a case study puntuali.

Identificando un’azienda privata all’interno del GdL, in un’ottica CO-CI-M:

– maggior semplicità operativa (liberatorie legali, etc);

tempi di risposta e di esecuzione più brevi– tempi di risposta e di esecuzione più brevi.

Proposta: utilizzare una o più aziende-target all’interno dei diversi Sottogruppi, verso le quali sono o saranno in corso attività di sicurezza proattiva (penetration testing) ?

à– Possibilità di utilizzare fondi EU (FP7, FP8, etc)

Show FloorCENTRO ALTI STUDI PER

Show FloorLA DIFESA

CeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006

Show Floor & Coffee-Break

CENTRO ALTI STUDI PER Durante la pausa caffè nell'area espositiva saranno presentati LA DIFESA

CeMiSS

Durante la pausa caffè nell area espositiva saranno presentati due case study, inclusivi dei relativi dimostratori, da parte di:

Emilio Bartezzaghi

Milano, 20/01/2006

1. Alcatel-Lucent

2. Università Tor Vergata

NB: Qualora il tempo dedicato durante il coffee break ed il pranzo non consentano a qualcuno di assistere alla demo,

i hi d i f ti di Al t l L t di U i ità di possono richiedere ai referenti di Alcatel Lucent e di Università di Roma Tor Vergata di illustrare i loro casi di studio durante la sessione pomeridiana.sessione pomeridiana.


CeMiSS

Case study 1Emilio Bartezzaghi

Milano, 20/01/2006

Case study 1

Case di riferimento della demo: reale attacco globaleavvenuto a Set 2010 (“Here you have”)


• A settembre 2010 un malware si è diffuso velocemente nel mondo via e-mail, come descritto in questo testo tratto da PCWorld.'Here You Have' Virus Shows Security Weakness

LA DIFESACeMiSS

Here You Have Virus Shows Security WeaknessThe 'Here You Have' worm is taking the world by storm using rudimentarytechniques that are a decade old, and illustrating the need for malware defense toevolve By Tony Bradley Sep 10 2010 5:27 AM

Emilio Bartezzaghi

Milano, 20/01/2006

evolve. By Tony Bradley Sep 10, 2010 5:27 AMA worm known affectionately as "Here You Have" based on the subjectline of the infected e-mail used to propagate it has quickly spread into al b l l k Th ffi f h i l d l d dglobal malware attack. The efficacy of the simple, and poorly worded e-

mail luring users to click on a malicious link demonstrates why we needa whole new approach to malware defense. …A McAfee spokesperson contacted me and explained the threat in anutshell "The threat arrives via e-mail and contains a link that appearsto direct to a PDF file, but instead goes to a malicious program," addingf , g p g g"Clicking on the link and activating the malware results in the wormattempting to disable security software and send itself to all the contactsin the user's address book. As a result, e-mail infrastructures of

COPYRIGHT © 2011 ALCATEL-LUCENT. ALL RIGHTS RESERVED. ALCATEL-LUCENT — CONFIDENTIAL — SOLELY FOR AUTHORIZED PERSONS HAVING A NEED TO KNOW — PROPRIETARY — USE PURSUANT TO COMPANY INSTRUCTION

36

in the user s address book. As a result, e mail infrastructures oforganizations could cripple under the e-mail load."

Architettura “Cloud” dell’UMB -> Demo del workshop OSN

CENTRO ALTI STUDI PER CASD Roma

Laboratorio ALU Battipaglia

Utenze presso CASD Roma

LA DIFESACeMiSS

CASD Roma

Emilio Bartezzaghi

Milano, 20/01/2006


CeMiSS

Case study 2Emilio Bartezzaghi

Milano, 20/01/2006

Case study 2

SatCom Emulator: configuration


Linux based platformReal time operationStar/mesh topology

Centralized control/managementLA DIFESA

CeMiSS

/ gInterfaced with real networks (Internet,

WiFi, GSM, WiMax, etc.)Interconnection with other test beds

Real traffic test run on demand

Emilio Bartezzaghi

Milano, 20/01/2006

Real application tests

Real application testsIPv6 availableMultiple TCP available, incl. SCPS-TPSplitting available (PEP w/split arch.)Real time visual output of test performance dataHardware in the loopFully accessible via web

Intersection Project concepts and test bed implementation


IntersectionIdentify and classify vulnerabilities of

LA DIFESACeMiSS

interconnected infrastructures;Identify Deploy countermeasures;Design and implement an integrated security system;

Emilio Bartezzaghi

Milano, 20/01/2006

Identify abnormal elements;Respond to anomalies;Provide a mechanism for intrusion prevention.

Satellite VulnerabilitiesVulnerabilities•Identification

classification and countermeasures study (prevention study (prevention, detection, reaction);

•Test bed implementation

•Linux •Linux implementation


CeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006

Contatti, Q&A


Grazie per l’attenzione!LA DIFESA

CeMiSS Domande?

Emilio Bartezzaghi

Milano, 20/01/2006

Coffee Break!!!CENTRO ALTI STUDI PER

Coffee Break!!!LA DIFESA

CeMiSS

Emilio Bartezzaghi

Milano, 20/01/2006

RILEVAZIONE “LIVE” DI ATTACCHI INFORMATICI DA E VERSO …

Documents

Transcript of RILEVAZIONE “LIVE” DI ATTACCHI INFORMATICI DA E VERSO …