Smau Milano 2011 Gentili-Fratpietro cyberwar

51
COME LE PMI FAVORISCONO LA CYBERWARFARE: BOTNET E SOCIAL NETWORK ALLA PORTATA DI TUTTI Stefano Fratepietro - Emanuele Gentili 1 sabato 30 giugno 12

description

Come le PMI favoriscono la cyberwarfare: botnet e social network alla portata di tutti

Transcript of Smau Milano 2011 Gentili-Fratpietro cyberwar

Page 1: Smau Milano 2011 Gentili-Fratpietro cyberwar

COME LE PMI FAVORISCONO LA CYBERWARFARE: BOTNET E SOCIAL NETWORK ALLA PORTATA DI TUTTI

Stefano Fratepietro - Emanuele Gentili

1

sabato 30 giugno 12

Page 2: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

2

Obiettivi del WorkShop

A) Dimostrare che esiste una eterna lotta tra gli sviluppatori software e la natura umana

B) Dimostrare che la natura al momento sta vincendo

C) Dimostrare che l’utonto e’ il peggior virus informatico creato sino ad oggi.

sabato 30 giugno 12

Page 3: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

3

Emanuele Gentili

http://www.tigersecurity.ithttp://www.backtrack-linux.orghttp://www.exploit-db.com

http://it.linkedin.com/in/emanuelegentilihttp://www.twitter.com/emgent

Amministratore delegato di Tiger Security S.r.l.

Offensive Security Certified Professional Trainer

Security and Cyber Intelligence Advisor

Project Leader in BackTrack Linux - Penetration Test distribution

sabato 30 giugno 12

Page 4: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

4

Stefano Fratepietro

IT security specialist per il CSE (Consorzio Servizi Bancari)

DEFT Linux – Computer Forensic live cd project leader

Consulente di Computer Forensic per procure, forze dell’ordine e grandi aziende italiane‣Buongiorno  Vitaminic!  ‣Telecom  Italia  -­‐  Ghioni

sabato 30 giugno 12

Page 5: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

5

Crackdown Playstation Network

20 aprile 2011 Playstation Network viene messo volutamente down dall’aziendaVengono concretizzati i sospetti di una violazione dei sistemi che erogano il servizio…

…tali sospetti si concretizzano con la certezza dell’avvenuto furto di innumerevoli documenti ad uso interno e di dati dei 77 milioni di utenti utilizzatori del network…

…comprese le carte di credito tenute in chiaro nei propri database

sabato 30 giugno 12

Page 6: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

6

Crackdown Playstation Network

sabato 30 giugno 12

Page 7: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

7

Crackdown Playstation Network

sabato 30 giugno 12

Page 8: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

8

Crackdown HBGary Federal

‣ Azienda made in USA di sicurezza informatica ed intelligence

‣ Principale fruitore dei servizi di HBGary è il governo USA

sabato 30 giugno 12

Page 9: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

9

Crackdown HBGary Federal

‣ CMS proprietario vulnerabile ad una SQL injectionwww.hbgaryfederal.com,  a=ualmente  down

‣ Dump di user e password, conservati non in chiaro ma con algoritmi di hash. Hash  della  password  contenuto  in  una  raimbowtable

‣ delle utenze aveva accesso in ssh al web serverIl  demone  ssh  era  vulnerabile  e  si  è  potuto  eseguire  un  privilege  esclaCon  per  o=enere  root

sabato 30 giugno 12

Page 10: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

10

Crackdown HBGary Federal

‣ Con la privilege esclation saltano fuori altre credenziali e password, comprese quelle del CEOLe  password  sono  risultate  di  sei  cara=eri

‣ La stesse credenziali erano usate per i profili Linkedin, Twitter e Google AppsIl  sistema  di  posta  di  HBGary  è  tu=o  su  Google  mail

‣ Procedura di recovery password per la casella di posta di Aaron Barr e Greg Hoglund e via….

sabato 30 giugno 12

Page 11: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

11

Crackdown HBGary Federal

sabato 30 giugno 12

Page 12: Smau Milano 2011 Gentili-Fratpietro cyberwar

12

Il caso Bin Laden

sabato 30 giugno 12

Page 13: Smau Milano 2011 Gentili-Fratpietro cyberwar

13

Joint special operation university

https://jsou.socom.mil/Pages/Default.aspx

https://jsou.socom.mil/Pages/2009JSOUPublications.aspx

Il caso Bin Laden

sabato 30 giugno 12

Page 14: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

14

Botnet l’Anatomia

Una botnet è una rete di computer collegati ad Internet che fanno parte di un insieme di computer controllato da un'unica entità, il botmaster.

Che cosa è una Botnet?

Desktop, Laptop, Netbook, Server, Smartphone, Palmari, Tablet, Router, Firewall .... WHAT ELSE? :-)

Che tipi di sistemi possono essere parte di una Botnet?

sabato 30 giugno 12

Page 15: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

15

Botnet: l’Anatomia‣ Botnet che attaccano Personal ComputerRequisiti: Macchine che ospitano dati personali.Utilizzo: Furto di credenziali, attacchi di tipo ddos.

‣ Botnet che attaccano Palmari, Tablet, SmartphoneRequisiti: Macchine che ospitano dati strettamente personali e familiari.Utilizzo: Furto di credenziali ed informazioni personali e familiari, attacchi di tipo ddos.

‣ Botnet che attaccano ServerRequisiti: Macchine che ospitano servizi web dinamici, forum o soluzioni web based enterprise.Utilizzo: Attacchi di tipo Ddos, Warez share, Phishing, Spam, server ponte per altri attacchi.

‣ Botnet che attaccano RouterRequisiti: Router Linux based.Utilizzo: Furto di credenziali, attacchi di tipo ddos.

sabato 30 giugno 12

Page 16: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

16

Botnet Client dalla nascita all’evoluzione

sabato 30 giugno 12

Page 17: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

17

Botnet Client dalla nascita all’evoluzione

sabato 30 giugno 12

Page 18: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

18

Botnet Client dalla nascita all’evoluzione

sabato 30 giugno 12

Page 19: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

19

Botnet Mobile dalla nascita all’evoluzione

Schema Rappresentativo botnet server anni 2008-2011

sabato 30 giugno 12

Page 20: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

20

Botnet Server dalla nascita all’evoluzione

Schema Rappresentativo botnet server anni 2002-2011 - Artix, AlpHaNiX

sabato 30 giugno 12

Page 21: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

21

Botnet Router dalla nascita all’evoluzione

Schema Rappresentativo botnet server anni 2009-2011 - Chuck Norris

bot 1bot 2

bot 3

sabato 30 giugno 12

Page 22: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

22

Riproduzione delle botnet

PC Mobile Server Routers

Vulnerabilità Sistema Operativo(Microsoft Windows)

Applicazioni Malevole sugli Store Vulnerabilità di tipo web(sqli, rce, lfi, rfi)

Credenziali di Default

Vulnerabilità Applicative(Adobe Flash, Microsoft Office, Adobe Reader, Real VNC, ecc..)

Passwords di Default su Servizi(OpenSSH, foo, bar)

Password deboli(Open SSH, MySQL, MSSQL)

Password Deboli(telnet, ssh, webpanel)

Vulnerabilità su Browser( Internet Explorer, Mozilla Firefox, Google Chrome)

Navigazione siti hard e warez

sabato 30 giugno 12

Page 23: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

23

Riproduzione delle botnet

sabato 30 giugno 12

Page 24: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

24

Cosa troviamo oggi nel Black Market?

... come al mercato del pesce.Noi: A quanto sta il merluzzo ?

Black Hat: 9 euro al kg.

Noi: A quanto invece le carte di credito Visa Gold?

Black Hat: 3 euro l’ una.

Ma noi abbiamo osato di più ....

sabato 30 giugno 12

Page 25: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

25

SpyEye Command e Control (Ultima generazione)

sabato 30 giugno 12

Page 26: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

26

SpyEye Generatore Trojan (Ultima generazione)

sabato 30 giugno 12

Page 27: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

27Al solo costo di....

700 $

Spy Eye Toolkit

sabato 30 giugno 12

Page 28: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

28

Hacking for dummyesAccesso ad AP Alice e Fastweb

App che permette di generare le chiavi wep e wpa di default di alcuni router wi-fi

‣ SpeedTouch, Thomson, Orange, DMax, BBox, Infinitum, Otenet, Cyta, Dlink

‣ Alice e Fastweb

Penetrare: http://underdev.org/penetrate/Wpa tester: http://www.megaupload.com/?d=7H8QI4YO

sabato 30 giugno 12

Page 29: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

29

Hacking for dummyesAccesso ad AP Alice e Fastweb

sabato 30 giugno 12

Page 30: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

30

Hacking for dummyesAccesso ad AP Alice e Fastweb

sabato 30 giugno 12

Page 31: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

31

Hacking for dummyesARP poisoning

‣ Tecnica di attacco che consente ad un attacker, in una lan, di concretizzare un attacco di tipo man in the middle verso tutti gli host che si trovano nello stesso segmento di rete

‣ Scopo di questo tipo di attacco è quello di redirigere, in una rete commutata, i pacchetti destinati ad un host verso un altro al fine di leggere il contenuto di questi per catturare le password che in alcuni protocolli viaggiano in chiaro

‣ Consiste nell'inviare intenzionalmente risposte ARP contenenti dati alterati in modo tale da alterare la tabella ARP (ARP entry cache) di un host

Software usato: Ettercap NG

sabato 30 giugno 12

Page 32: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

32

Hacking for dummyesARP poisoning

sabato 30 giugno 12

Page 33: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

33

Hacking for dummyesAccesso agli host della rete

Attività di monitoraggio delle attività degli host della rete violata

‣   Individuazione   delle   vulnerabilità   degli   host   collegaC   alla   rete  wifi

‣   Sniffing   del   traffico   generato   dagli   host   della   rete   al   fine   di  carpire  informazioni  del  Cpo➡  Posta  ele=ronica➡  Social  network

sabato 30 giugno 12

Page 34: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

34

Anche Mia Nonna saprebbe crackare una rete Wireless

Tratto da una storia vera...

sabato 30 giugno 12

Page 35: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

35

Botnet alla portata di tutti

Rete di computer infettati da un tipo di malware che permette ad un attaccante di controllare a distanza le macchine infette.

Principale utilizzo:‣ Invio di spam‣ Attacchi informatici di tipo DDOS‣ Attività di scansione per ampliamento della botnet‣ Phishing

sabato 30 giugno 12

Page 36: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

36

Botnet alla portata di tutti

sabato 30 giugno 12

Page 37: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

37

Botnet alla portata di tutticasi recenti noti

‣ www.governo.it, andato a buon fine‣ www.senato.it, andato a buon fine‣ www.giustizia.it, andato a buon fine‣ www.enel.it, andato a buon fine‣ www.finmeccanica.it, sito temporaneamente irraggiungibile

con redirect su 127.0.0.1‣ www.mediaset.it, andato a buon fine‣ www.unicreditbanca.it, non andato a buon fine

sabato 30 giugno 12

Page 38: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

38

Il Caso Poste Italiane

sabato 30 giugno 12

Page 39: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

39

Attacchi Client Sidenella mia botnet con un click

sabato 30 giugno 12

Page 40: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

40

Attacchi Client Sidenella mia botnet con un click

Un attacco viene definito client side, quando il focus dell’operazione è orientato verso le applicazioni di uso comune della vittima.

Esempio:

‣ Browser di Navigazione Internet

‣ Client di Posta Elettronica

‣ Software di messaggistica Instantanea

‣ . . .

sabato 30 giugno 12

Page 41: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

41

Attacchi Client SideVettori di Attacco

Twitter

FacebookLinkedin

Ingegneria sociale

MySpace

ForumMessenger

sabato 30 giugno 12

Page 42: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

42

Attacchi Client Side

Javascript - Botnet

sabato 30 giugno 12

Page 43: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

43

Attacchi Client Side

Buffer OverflowUn utente, visitando semplicemente una pagina web, potrebbe consegnare nelle mani dell’attaccante il proprio pc e tutti i dati che risiedono all’interno.

sabato 30 giugno 12

Page 44: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

44

Sistemi Vulnerabili ad Attacchi Client Side

25%

25%25%

25%

Microsoft Windows GNU Linux MAC OSX BSD

sabato 30 giugno 12

Page 45: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

45

Attacchi Client Side

Attacchi di tipo mirato alla persona.

sabato 30 giugno 12

Page 46: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

46

Cyberwarfare .. qualcuno trama nell’ombra

2 giugno 2011 Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe”

sabato 30 giugno 12

Page 47: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

47

Attacchi tramite social networkConsensi elettorali

Link esca dal titolo “Peggio attaccante vs peggior portiere del mondo LOL”…

… che puntava ad un java script che incrementava le iscrizioni alla pagina del candidato sindaco Letizia Moratti

Pagina rimossa il 25 maggio

sabato 30 giugno 12

Page 48: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

48

Attacchi tramite social networkConsensi elettorali

Il nome di chi detiene il dominio (Fatti fantastici.info) è coperto da una società che nasconde l'identità del registrant sotto il più rigoroso anonimato, Domains by proxy, con sede in Arizona.

sabato 30 giugno 12

Page 49: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

49

ConclusioniAl giorno d’oggi chi espone sistemi vulnerabili sulla rete Internet non ha

scusanze

La sicurezza è un PROCESSO e non un prodotto.

Puoi spendere 1.000.000 € in hardware per la security ma se non hai persone competenti che le amministrano non serve a nulla

Le security policy vanno rispettate senza alcuna eccezione, nemmeno per l’AD

La più grande vulnerabilità informatica mai corretta è l’utente

sabato 30 giugno 12

Page 50: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

50Domande ?

sabato 30 giugno 12

Page 51: Smau Milano 2011 Gentili-Fratpietro cyberwar

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

51

Grazie per l’attenzione.Stefano Fratepietro Emanuele Gentili

e.gentili @ tigersecurity.itwww.tigersecurity.it

www.backtrack-linux.org

stefano @ periziainformatica.euwww.deftlinux.netsteve.deftlinux.net

sabato 30 giugno 12