CENTRO ALTI STUDI PER LA DIFESACentro Militare Studi Strategici (CeMiSS)Ce o a e S ud S a eg c (Ce SS)Osservatorio per la Sicurezza Nazionale (OSN)
RILEVAZIONE “LIVE” DI ATTACCHI INFORMATICI DA E VERSO L’ITALIA
CONVEGNO“La sicurezza cibernetica nello scenario della
cooperazione civile e militare”cooperazione civile e militareRoma, 30 Novembre 2011
Relatore:Raoul Chiesa, @ Mediaservice.netGdL “Cyberworld” ‐ Sottogruppo ROSA
Sommario’ dCENTRO ALTI STUDI PER
SommarioL’ideaProblematiche riscontrate
LA DIFESACeMiSS La soluzione
T CEmilio Bartezzaghi
Milano, 20/01/2006
Team CymruIl video
Categorie di attacchiStatistiche
Commenti finaliShow Floor (Case Study 1 & 2)Show Floor (Case Study 1 & 2)Contatti, Q&AC ff B k!Coffee Break!
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
L’IDEAL’IDEA
L’idea
CENTRO ALTI STUDI PER
Si parla in continuazione di Cybercrime e di Cyberwar, ma in pochi hanno effettivamente la possibilità di “toccare con mano”
LA DIFESACeMiSS
p pciò che succede realmente ogni giorno.
– Il numero di Data Breach a livello mondiale è in costante aumento ed
Emilio Bartezzaghi
Milano, 20/01/2006
ha oramai raggiunto cifre davvero importanti - e preoccupanti! (cfr. “Verizon Data Breach Investigations Report”, redatto annualmente da Verizon con United States Secret Service e la Dutch High Techda Verizon con United States Secret Service e la Dutch High TechCrime Unit; http://securityblog.verizonbusiness.com) .
– Inoltre, gli attacchi scoperti sono solo la classica punta dell’iceberg.
Durante le prime riunioni del GdL, è dunque nata all’interno del Sottogruppo Rosa l’idea di realizzare una “simulazione di Sottogruppo Rosa l idea di realizzare una simulazione di attacco”.
A i di l’i t i di f “ i ” i li Avevamo quindi l’intenzione di fare “respirare” e visualizzare graficamente quello che accade.
PROBLEMATICHE RISCONTRATECENTRO ALTI STUDI PER
PROBLEMATICHE RISCONTRATE
LA DIFESACeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
Problematiche riscontrate
CENTRO ALTI STUDI PER
Necessità di catalogazione degli attacchi
– Differenti tipologie e sottocategorieLA DIFESA
CeMiSS Necessità di una terminologia comune -> “Glossario “
Emilio Bartezzaghi
Milano, 20/01/2006
Simulazione di “attacchi hacking”:
– Necessità di risorse umane con skill estremamente alti
– Non disponibilità di hardware e bandwidth dedicati
– Progettazione e costruzione di siti target e sistemi host con l bilità t livulnerabilità puntuali:
• Time-consuming• Costo del personale
Perdita di “appealing”
– Al contrario di quanto Hollywood ci fa vedere è molto noioso Al contrario di quanto Hollywood ci fa vedere, è molto noioso osservare videate nere (shell) e comandi tipicamente incomprensibili per molti…
LA SOLUZIONECENTRO ALTI STUDI PER
LA SOLUZIONE
LA DIFESACeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
La soluzione
CENTRO ALTI STUDI PER
La soluzione è stata quella di trovare un compromesso tra quello che vedevamo come “l’output” - a livello grafico/visivo e le necessità precedentemente LA DIFESA
CeMiSS
grafico/visivo - e le necessità precedentemente individuate.
– Senza impattare sui budget (comunque non disponibili)
Emilio Bartezzaghi
Milano, 20/01/2006
Se a patta e su budget (co u que o d spo b l )
– Evitando “intoppi burocratici” quali le liberatorie legali (nel caso appunto di “attacchi” simulati ma realmente lanciati, verso Enti e/o aziende facenti parte del GdL).
Nel mondo, una serie di attori (Enti, Aziende, Community) rilevano costantemente gli attacchi e le tendenze e le novità nel mondo del cybercrime.
Team Cymru HostExploit CyberDefCon Shadow Server – Team Cymru, HostExploit, CyberDefCon, Shadow Server, SPAMhaus, APWG, etc..
Il “workaround” è stato quindi quello di utilizzare q qquesti dati reali e rappresentarli graficamente(Rilevazione e Registrazione).
CENTRO ALTI STUDI PER RULA DIFESA
CeMiSS
MR
Emilio Bartezzaghi
Milano, 20/01/2006 CYM
m C
eam
Te
Team Cymru
CENTRO ALTI STUDI PER
Team Cymru NFP è un Security Resarch think-tank no-profit della Team Cymru Inc., una Internet Security Research Firm: i di I id t H dli S it T i i è b t LA DIFESA
CeMiSS
si occupa di Incident Handling e Security Training; è basato negli USA (Florida), con personale di 35 paesi diversi.
Il personale è composto da ex “Law Enforcement Officers”Emilio Bartezzaghi
Milano, 20/01/2006
Il personale è composto da ex Law Enforcement Officersda EU e US, esperti legali, ingegneri e programmatori.
Si occupa della formazione per l’Interpol (“UE -(Underground Economy”, Settembre, Lione, Francia) e collabora con 60 LEA nel mondo.
Collaborazione con i maggiori player di mercato e le principali Security Community.
Steve Santorelli > Key Note Speaker al Security Steve Santorelli -> Key Note Speaker al Security Summit del CLUSIT nel 2009 (edizione di Milano).
“Trusted network” basato su rapporti di fiducia personali.pp p
– co-operazione sul campo.
Bypass delle formalità -> elevata operatività pratica.
Il VIDEOIl videoCENTRO ALTI STUDI PER
Il VIDEOIl videoLA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
Il video
CENTRO ALTI STUDI PER
Software di visualizzazione per Apple MacOSX, creato da Marcel van den Berg (Senior Analyst ): prende in input i dati provenienti LA DIFESA
CeMiSS
van den Berg (Senior Analyst,): prende in input i dati provenienti dal Cybercrime Data Center di Team Cymru.
– Esportato in .mov.
Emilio Bartezzaghi
Milano, 20/01/2006
Esportato in .mov.
I dati si riferivano a 24 ore di attacchi da e verso l’Italia.
– Dopo le prime release ad uso interno, con Marcel e Steve ho deciso di estendere il timeframe a 72 ore (3 giorni) per rendere maggiormente l’idea dell’esponenzialità degli attacchi.p g
– 170.000 entry uniche nel periodo preso in esame del 6-8 Luglio 2011 (NOTA: un singolo indirizzo IP è contato solo il primo giorno di avvistamento, anche se ha molteplici istanze).
Il campione si basa su un totale di 184 giorni relativi al TLD “.it”, p gagli AS ed alle classi di indirizzi IP pubblici attestati in Italia.
Categorie di attacchi
CENTRO ALTI STUDI PER
Le seguenti categorie di attacchi sono state prese in considerazione :
1. Open ResolversLA DIFESA
CeMiSS
1. Open Resolvers
2. Spam
3. Botnet CC
Emilio Bartezzaghi
Milano, 20/01/2006
4. IRC Bots
5. P2P Bots
l6. FastFlux
7. Darknet
8. Malware URL [[
[Categorie di Malware: 14]
9. Phishing
10. Proxies
11. Bruteforce
12 Speedtest12. Speedtest
13. Spreaders
Categorie di attacchi: dettagli / 1
CENTRO ALTI STUDI PER
1. Openresolvershttp://it wikipedia org/wiki/DNS Amplification Attack#Server open r
LA DIFESACeMiSS
– http://it.wikipedia.org/wiki/DNS_Amplification_Attack#Server_open_resolver_e_ricorsione
– Si tratta di comunicazioni (di tipo malicious) verso server DNS “open
Emilio Bartezzaghi
Milano, 20/01/2006
resolver” e ricorsivi, al fine di inviare a questi ultimi pacchetti contenenti informazioni falsificate, per l’esecuzione di attacchi di vario tipo (spoofing; hi-jacking; etc) tipicamente utilizzati in azioni di vario tipo (spoofing; hi-jacking; etc), tipicamente utilizzati in azioni di frodi server-side.
2. Spam
– http://it.wikipedia.org/wiki/Spam
– Si tratta di indirizzi IP coinvolti in azioni di spam.
3. Botnetcc
– http://it.wikipedia.org/wiki/Botnet
Si t tt di i di i i IP h gi i lità di C&C– Si tratta di indirizzi IP che agiscono in qualità di C&C(Command&Control, ovverosia la “cabina di regia”) di reti di Botnet.
Categorie di attacchi: dettagli / 2
CENTRO ALTI STUDI PER
4. Ircbotshttp://it wikipedia org/wiki/Bot IRC
LA DIFESACeMiSS
– http://it.wikipedia.org/wiki/Bot_IRC
– Si tratta di indirizzi IP coinvolti nella gestione (invio ordini ed azioni, etc) di reti di Botnet attraverso la rete IRC.
Emilio Bartezzaghi
Milano, 20/01/2006 5. p2pbots– http://it.wikipedia.org/wiki/Botnet
– Si tratta di indirizzi IP coinvolti nella gestione (invio ordini ed azioni, t ) di ti di B t t tt ti P t P (P2P) E’ i di etc) di reti di Botnet attraverso reti Peer to Peer (P2P). E’ quindi un
altro sistema utilizzato dai botmaster per controllare i bot sono le reti peer-to-peer (tra queste è compresa la rete di skype). In questo caso la rete p2p viene usata come veicolo per le informazioni che il botmaster invia ai bot.
Categorie di attacchi: dettagli / 3
CENTRO ALTI STUDI PER
6. Fastflux(http://it wikipedia org/wiki/Fastflux)
LA DIFESACeMiSS
– (http://it.wikipedia.org/wiki/Fastflux)
– Il Fast Flux è una tecnica utilizzata nelle botnet basata sul DNS per nascondere il phishing e i siti di malware dietro una rete di host
Emilio Bartezzaghi
Milano, 20/01/2006
compromessi che agiscono da proxy e che cambiano in continuazione. Si può anche riferire alla combinazione di reti peer-to-peer, sistemi command-and-control distribuiti load balancing del web e redirezionecommand-and-control distribuiti, load balancing del web e redirezionedi proxy utilizzate per rendere le reti di malware più resistenti rispetto alla loro individuazione e alle contromisure.
– Lo Storm worm è una delle varianti recenti di malware che fa uso di questa tecnica.Gli utenti di internet possono osservare l'uso del fast flux negli attacchi di phishing legati a organizzazioni criminali incluso flux negli attacchi di phishing legati a organizzazioni criminali, incluso l'attacco a MySpace.
– Mentre i ricercatori della sicurezza erano a conoscenza della tecnica almeno da novembre 2006, la tecnica ha ricevuto un'attenzione maggiore da parte della stampa a partire da luglio 2007.
Categorie di attacchi: dettagli / 4
CENTRO ALTI STUDI PER
7. Darknethttp://it wikipedia org/wiki/Darknet
LA DIFESACeMiSS
– http://it.wikipedia.org/wiki/Darknet
– Una darknet (in italiano letteralmente: Rete scura) è una rete virtuale privata dove gli utenti connettono solamente persone di cui si fidano.
Emilio Bartezzaghi
Milano, 20/01/2006
Nel suo significato più generale, una darknet può essere qualsiasi tipo di gruppo chiuso e privato di persone che comunicano, ma il nome è più spesso usato nello specifico per reti di condivisione di file (p2p)più spesso usato nello specifico per reti di condivisione di file (p2p).
– Il termine fu originariamente coniato negli anni settanta per designarereti che erano isolate da ARPANET (la vecchia internet) per motivi disicurezza.
Categorie di attacchi: dettagli / 5
CENTRO ALTI STUDI PER
8. Malwareurlhttp://it wikipedia org/wiki/Malware
LA DIFESACeMiSS
– http://it.wikipedia.org/wiki/Malware
– Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il
Emilio Bartezzaghi
Milano, 20/01/2006
termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice malignoin italiano è detto anche codice maligno.
– La diffusione di tali software risulta in continuo aumento. Si calcola che nel solo anno 2008 su Internet siano girati circa 15 milioni di malware, di cui quelli circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti, e tali numeri sono destinati verosimilmente ad aumentareverosimilmente ad aumentare.
– La categoria Malwareurl rende quindi in considerazione tutti quegliindirizzi IP da/verso i quali sono state individuate azioni di malware.
Categorie di attacchi: dettagli / 6
CENTRO ALTI STUDI PER
8. [Categorie di malware]Virus
LA DIFESACeMiSS
– Virus
– Worm
– Trojan Horse
Emilio Bartezzaghi
Milano, 20/01/2006
j
– Backdoor
– Spyware
– Dialer
– Hijacker
– Rootkit
– Scareware
Rabbit– Rabbit
– Adware
– BatchBatch
– Keylogger
– Rogue Antispyware
Categorie di attacchi: dettagli / 7
CENTRO ALTI STUDI PER
9. Phishing– http://it.wikipedia.org/wiki/Phishing
LA DIFESACeMiSS
– In ambito informatico il phishing ("spillaggio (di dati sensibili)", in italiano) è una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la
Emilio Bartezzaghi
Milano, 20/01/2006
finalità del furto d'identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafico e logo dei siti istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc..
– La prima menzione registrata del termine phishing è sul newsgroup di Usenetalt.online-service.america-online il 2 gennaio 1996, malgrado il termine possa essere apparso precedentemente nell'edizione stampata della rivista per essere apparso precedentemente nell edizione stampata della rivista per hacker 2600. Il termine phishing è una variante di fishing (letteralmente "pescare" in lingua inglese),probabilmente influenzato da phreaking e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e all uso di tecniche sempre più sofisticate per pescare dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio “leet”, nel quale la lettera f è comunemente sostituita con ph.
Categorie di attacchi: dettagli / 8
CENTRO ALTI STUDI PER
10. Proxieshttp://it wikipedia org/wiki/Proxy
LA DIFESACeMiSS
– http://it.wikipedia.org/wiki/Proxy
– I proxy sono servizi (illegalmente) attivati su sistemi informatici vittima, i quali vengono utilizzati ed abusati al fine di mascherare la
Emilio Bartezzaghi
Milano, 20/01/2006
propria identità digitale (il proprio indirizzo IP) durante il lancio di attacchi informatici o l’esecuzione di frodi informatiche.
11. Bruteforcehttp://it wikipedia org/wiki/Metodo forza bruta– http://it.wikipedia.org/wiki/Metodo_forza_bruta
– Il bruteforce è una tecnica di attacco che si applica a molteplici scenari. Lo scenario più semplice si trova quando un agente di minaccia vuole scoprire una password, per esempio un PIN a 4 cifre: avrà 10.000 possibili combinazioni e, tramite strumenti software automatizzati proverà automaticamente la totalità di dette automatizzati, proverà automaticamente la totalità di dette combinazioni, da 0000 a 9999.
Categorie di attacchi: dettagli / 9
CENTRO ALTI STUDI PER
12. SpeedtestIn questa categoria Team Cymry ha inserito le attività di software
LA DIFESACeMiSS
– In questa categoria Team Cymry ha inserito le attività di software malizioso (malicious malware) i quali effettuano dei test di velocità verso gli indirizzi IP target, al fine di valutarne le prestazioni e
Emilio Bartezzaghi
Milano, 20/01/2006
comprendere se sono o meno da ritenersi obiettivi interessanti da violare ed abusare per azioni di cybercrime.
13. Spreaders– In questa categoria rientrano alcuni malware “datati”, quali del In questa categoria rientrano alcuni malware datati , quali del
malware che effettua scansioni di indirizzi IP alla ricerca di vulnerabilità DCOM e così via.
– Come si noterà, la percentuale e il totale degli eventi è pari a zero: la categoria è rimasta in quanto utilizzata precedentemente da Team Cymru per altre ricerche, ma nella presente analisi e nel filmato nonCymru per altre ricerche, ma nella presente analisi e nel filmato nonè stata presa in considerazione.
Statistiche per categorie
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Now playingEmilio Bartezzaghi
Milano, 20/01/2006
Now playing“ 3d h26 ”“IT_3days_h264.mov”
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
COMMENTI FINALI
Commenti finali
CENTRO ALTI STUDI PER L’idea di effettuare attacchi simulati continua però a piacerci LA DIFESA
CeMiSSmolto…
Vorremmo unirla a case-study puntualiEmilio Bartezzaghi
Milano, 20/01/2006
Vorremmo unirla a case study puntuali.
Identificando un’azienda privata all’interno del GdL, in un’ottica CO-CI-M:
– maggior semplicità operativa (liberatorie legali, etc);
tempi di risposta e di esecuzione più brevi– tempi di risposta e di esecuzione più brevi.
Proposta: utilizzare una o più aziende-target all’interno dei diversi Sottogruppi, verso le quali sono o saranno in corso attività di sicurezza proattiva (penetration testing) ?
à– Possibilità di utilizzare fondi EU (FP7, FP8, etc)
Show FloorCENTRO ALTI STUDI PER
Show FloorLA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
Show Floor & Coffee-Break
CENTRO ALTI STUDI PER Durante la pausa caffè nell'area espositiva saranno presentati LA DIFESA
CeMiSS
Durante la pausa caffè nell area espositiva saranno presentati due case study, inclusivi dei relativi dimostratori, da parte di:
Emilio Bartezzaghi
Milano, 20/01/2006
1. Alcatel-Lucent
2. Università Tor Vergata
NB: Qualora il tempo dedicato durante il coffee break ed il pranzo non consentano a qualcuno di assistere alla demo,
i hi d i f ti di Al t l L t di U i ità di possono richiedere ai referenti di Alcatel Lucent e di Università di Roma Tor Vergata di illustrare i loro casi di studio durante la sessione pomeridiana.sessione pomeridiana.
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Case study 1Emilio Bartezzaghi
Milano, 20/01/2006
Case study 1
Case di riferimento della demo: reale attacco globaleavvenuto a Set 2010 (“Here you have”)
CENTRO ALTI STUDI PER
• A settembre 2010 un malware si è diffuso velocemente nel mondo via e-mail, come descritto in questo testo tratto da PCWorld.'Here You Have' Virus Shows Security Weakness
LA DIFESACeMiSS
Here You Have Virus Shows Security WeaknessThe 'Here You Have' worm is taking the world by storm using rudimentarytechniques that are a decade old, and illustrating the need for malware defense toevolve By Tony Bradley Sep 10 2010 5:27 AM
Emilio Bartezzaghi
Milano, 20/01/2006
evolve. By Tony Bradley Sep 10, 2010 5:27 AMA worm known affectionately as "Here You Have" based on the subjectline of the infected e-mail used to propagate it has quickly spread into al b l l k Th ffi f h i l d l d dglobal malware attack. The efficacy of the simple, and poorly worded e-
mail luring users to click on a malicious link demonstrates why we needa whole new approach to malware defense. …A McAfee spokesperson contacted me and explained the threat in anutshell "The threat arrives via e-mail and contains a link that appearsto direct to a PDF file, but instead goes to a malicious program," addingf , g p g g"Clicking on the link and activating the malware results in the wormattempting to disable security software and send itself to all the contactsin the user's address book. As a result, e-mail infrastructures of
COPYRIGHT © 2011 ALCATEL-LUCENT. ALL RIGHTS RESERVED. ALCATEL-LUCENT — CONFIDENTIAL — SOLELY FOR AUTHORIZED PERSONS HAVING A NEED TO KNOW — PROPRIETARY — USE PURSUANT TO COMPANY INSTRUCTION
36
in the user s address book. As a result, e mail infrastructures oforganizations could cripple under the e-mail load."
Architettura “Cloud” dell’UMB -> Demo del workshop OSN
CENTRO ALTI STUDI PER CASD Roma
Laboratorio ALU Battipaglia
Utenze presso CASD Roma
LA DIFESACeMiSS
CASD Roma
Emilio Bartezzaghi
Milano, 20/01/2006
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Case study 2Emilio Bartezzaghi
Milano, 20/01/2006
Case study 2
SatCom Emulator: configuration
CENTRO ALTI STUDI PER
Linux based platformReal time operationStar/mesh topology
Centralized control/managementLA DIFESA
CeMiSS
/ gInterfaced with real networks (Internet,
WiFi, GSM, WiMax, etc.)Interconnection with other test beds
Real traffic test run on demand
Emilio Bartezzaghi
Milano, 20/01/2006
Real application tests
Real application testsIPv6 availableMultiple TCP available, incl. SCPS-TPSplitting available (PEP w/split arch.)Real time visual output of test performance dataHardware in the loopFully accessible via web
Intersection Project concepts and test bed implementation
CENTRO ALTI STUDI PER
IntersectionIdentify and classify vulnerabilities of
LA DIFESACeMiSS
interconnected infrastructures;Identify Deploy countermeasures;Design and implement an integrated security system;
Emilio Bartezzaghi
Milano, 20/01/2006
Identify abnormal elements;Respond to anomalies;Provide a mechanism for intrusion prevention.
Satellite VulnerabilitiesVulnerabilities•Identification
classification and countermeasures study (prevention study (prevention, detection, reaction);
•Test bed implementation
•Linux •Linux implementation
CENTRO ALTI STUDI PER LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
Contatti, Q&A
CENTRO ALTI STUDI PER
Grazie per l’attenzione!LA DIFESA
CeMiSS Domande?
Emilio Bartezzaghi
Milano, 20/01/2006
Coffee Break!!!CENTRO ALTI STUDI PER
Coffee Break!!!LA DIFESA
CeMiSS
Emilio Bartezzaghi
Milano, 20/01/2006
Top Related