AIGA: 17 Gennaio 2014 Accesso abusivo informatico: tra digital forensics e privacy Raoul «Nobody» Chiesa Founder, President, Security Brokers SCpA Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Agenda • Il relatore • Il 615/ter • Lo scenario odierno – Hackers – Cybercrime – Privacy?!? • La Digital Forensics • Conclusioni • Bibliografia e sitografia Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Chi sono → Il relatore • President, Founder, Security Brokers SCpA • Principal, CyberDefcon Ltd., UK • HPP Special Advisor @ UNICRI (United Nations Interregional Crime & Justice Research Institute) • PSG Member, ENISA (Permanent Stakeholders Group, European Network & Information Security Agency) • Founder, Board of Directors and Technical Commitee Member @ CLUSIT (Italian Information Security Association) • Steering Committee, AIP/OPSI, Privacy & Security Observatory • Member, Coordinator of the WG «Cyber World» at CASD/OSN • Board of Directors, ISECOM • Board of Directors, OWASP Italian Chapter Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Il 615 /ter → «Accesso abusivo a sistemi informatici protetti da misure di sicurezza» • Norme del 1994 • Dopo il caso del Policlinico Gemelli (1993), sezione trapianti, prima dell’operazione Ice Trap (1995) • Ecosistema hacker molto differente; nuovi attori, nuova geopolitica (cfr. ITU Dubai Dicembre 2012, Datagate, ….) • «protetti da misure di sicurezza» ?!? • DGLS 196 Privacy («protetti da adeguate misure di sicurezza) • Legislazione rimasta ancorata al 1994 (password guessing, brute forcing, default accounts: «old-school hacking») • Il «Domicilio telematico» (analogie e confronti tipo «è come se, entrati in casa, …») • Evoluzione delle tecnologie (3G & LTE, Wi-Fi, Bluetooth, smartphone & tablet, etc..), delle tecniche di attacco e dell’impatto sociale e sulla privacy • (anno 2000): passaggio dall’hacking «fine a sé stesso» al Crimine Organizzato – Cybercrime Turnover: circa 10 miliardi di USD/anno (la punta dell’iceberg) – Cybercrime: Russia, Ucraina, Cina, India, Lettonia, …. – Information Warfare: USA, UK, Canada, Russia, Cina, India….. Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → Ecosistema hacker Profile OFFENDER ID LONE / GROUP HACKER TARGET MOTIVATIONS / PURPOSES Wanna Be Lamer 9-16 years “I would like to be a hacker, but I can’t” GROUP End-User For fashion, It’s “cool” => to boast and brag Script Kiddie 10-18 years The script boy GROUP: but they may act alone SME / Specific security flaws To give vent of their anger / attract mass-media attention Cracker 17-30 years The destructor, burned ground LONE Business company To demonstrate their power / attract massmedia attention Ethical Hacker 15-50 years The “ethical” hacker’s world LONE / GROUP (only for fun) Vendor / Technology For curiosity (to learn) and altruistic purposes Quiet, Paranoid, Skilled Hacker 16-40 years The very specialized and paranoid attacker LONE On necessity For curiosity (to learn) => egoistic purposes Cyber-Warrior 18-50 years The soldier, hacking for money LONE “Symbol” business company / End-User For profit Industrial Spy 22-45 years Industrial espionage LONE Business company / Corporation For profit Government Agent 25-45 years CIA, Mossad, FBI, etc. LONE / GROUP Government / Suspected Terrorist/ Strategic company/ Individual Espionage/ Counter-espionage Vulnerability test Activity-monitoring Military Hacker 25-45 years LONE / GROUP Government / Strategic company Monitoring / controlling / crashing systems Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → Ecosistema hacker DETERRENCE EFFECT OF: LAWS CONVICTIONS SUFFERED BY OTHER HACKERS Wanna Be Lamer NULL NULL ALMOST NULL HIGH HIGH CONVICTIONS SUFFERED BY THEM TECHNICAL DIFFICULTIES Script Kiddie NULL NULL HIGH: they stop after the 1st conviction Cracker NULL NULL NULL MEDIUM NULL Ethical Hacker NULL NULL HIGH: they stop after the 1st conviction Quiet, Paranoid, Skilled Hacker NULL NULL NULL NULL Cyber-Warrior NULL NULL NULL NULL: they do it as a job Industrial Spy NULL NULL NULL NULL: they do it as a job Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → Perché «Cybercrime»? “2011 Cybercrime financial turnover apparently scored up more than Drugs dealing, Human Trafficking and Weapons Trafficking turnovers” «Cybercrime ranks as one of the top four economic crimes» PriceWaterhouseCoopers LLC Global Economic Crime Survey 2011 Various sources (UN, USDOJ, INTERPOL, 2011) Financial Turnover, estimation: 6-12 BLN USD$/year Source: Group IB Report 2011 & 2012 http://www.group-ib.ru/wpcontent/uploads/2011/04/GroupIB_Report_Russian-cybercrimemarket_2011_eng.pdf Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → Perché «Cybercrime»? Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → Il Cybercrime non è (più) perpetrato da “hackers” Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → Shift geopolitico: 2013 - Map of Cyber Defense evolving Member States (partial) Source: Flavia Zappa, Security Brokers, 2013 Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → Shift geopolitico: 2013 - Map of ITU Dubai General Assembly December (red=not signed; black=signed) Source: Flavia Zappa, Security Brokers, 2013 Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → Attori La prima caratteristica del cyberwarfare è che si tratta di uno spettro molto ampio di tecniche di confronto alla portata di un numero crescente di attori, che le applicano per scopi, con modalità ed intensità variabili e contro ogni genere di bersaglio (infrastrutture critiche, sistemi governativi, sistemi militari, aziende di ogni dimensione, banche, media, gruppi di interesse, privati cittadini, …) Stati Nazionali IC / LEAs Cybercrime organizzato Hacktivisti Spie industriali Terroristi Corporations Mercenari Tutti contro tutti Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Non si scherza più… A PsyOps “test” via Twitter (by the “Syrian Electronic Army”, a pro-Assad mercenary group) Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Non si scherza più… Associated Press Twitter account hijacking caused to NYSE a 53B $ loss in 5 minutes Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 La situazione nel 2012 VITTIME PER TIPOLOGIA Institutions: Gov - Mil - LEAs - Intelligence Others Industry: Entertainment / News Industry: Online Services / Cloud Institutions: Research - Education Industry: Banking / Finance Industry: Software / Hardware Vendor Industry: Telco Gov. Contractors / Consulting Industry: Security Industry: Religion Industry: Health Industry: Chemical / Medical 2011 2012 Variazioni 2012 su 2011 153 97 76 15 26 17 27 11 18 17 0 10 2 374 194 175 136 104 59 59 19 15 14 14 11 9 144,44% 100,00% 130,26% 806,67% 300,00% 247,06% 118,52% 72,73% -16,67% -17,65% 10,00% 350,00% Nel 2012 gli attacchi sui ed ai Social Network sono aumentati del 800% rispetto al 2011. Quelli al settore bancario del 247%…. Gli attacchi realizzati con successo sono diminuiti solo la dove hanno cominciato ad applicare contromisure adeguate per prevenire le minacce. Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Nel 2013… Macro-tipologie di attaccanti ATTACCANTI PER TIPOLOGIA Cybercrime Unknown Hacktivism Espionage / Sabotage Cyber warfare 2011 2012 Variazioni 2012 su 2011 2H 2012 1H 2013 Variazioni 1H 2013 su 2H 2012 170 148 114 23 14 633 110 368 29 43 272,35% -25,68% 222,81% 26,09% 207,14% 294 0 189 17 16 293 0 211 41 17 -0,34% 11,64% 141,18% 6,25% Nel 2013 il Cyber Crime è rimasto sostanzialmente ai livelli percentuali del 2012 (circa il 50% del totale, su 600 attacchi gravi analizzati tra gennaio e giugno). Sono ulteriormente cresciuti: l’Hacktivism (sempre più di origine non occidentale) Le attività di Cyber Espionage (+140%) E si fanno notare le prime avvisaglie di Information Warfare Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Nel 2013… Distribuzione degli attaccanti Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Nel 2013… Classificazione delle vittime Oltre alla crescita degli attacchi verso Gov/Mil ed Entertainment/News, si osserva un aumento significativo di attacchi alle Banche. Tra le nuove categorie, Automotive ed Infrastrutture Critiche (NB le auto stanno diventando computer semoventi)… Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Automotive Security Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Nel 2013… Distribuzione delle vittime Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Nel 2013… Classificazione delle tecniche di attacco TECNICHE PER TIPOLOGIA SQL Injection1 Unknown DDoS Known Vulnerabilities / Misconfig. Malware Account Cracking Phishing / Social Engineering Multiple Techniques / APT2 0-day3 Phone Hacking 2011 2012 Variazioni 2012 su 2011 2H 2012 1H 2013 1H 2013 su 2H 2012 197 73 27 107 34 10 10 6 5 0 435 294 165 142 61 41 21 13 8 3 120,81% 302,74% 511,11% 32,71% 79,41% 310,00% 110,00% 116,67% 60,00% - 212 120 67 56 30 17 5 6 3 0 162 106 97 78 8 46 2 61 2 0 -23,58% -11,67% 44,78% 39,29% -73,33% 170,59% -60,00% 916,67% -33,33% - Anche nel 2013 la maggior parte degli attacchi sono stati realizzati con tecniche ben conosciute, sfruttando la mancanza di patch, misconfigurazioni, falle organizzative, la mancanza di awareness da parte degli utenti etc, ovvero tutte vulnerabilità che potrebbero e dovrebbero essere mitigate con una certa facilità, mentre anche in questo primo semestre rappresentano il 69% del totale. Aumentano gli attacchi DDoS (+44%) e le APT (+900%). Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Nel 2013… Classificazione delle tecniche di attacco Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → Parlando di DDoS… La situazione attuale in un grafico (ieri alle 11:45) NB sotto quel pallino rosso c’è l’Italia. Questi sono i DDoS in corso in questo momento. Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → …«Privacy?!?» Vodafone Greece 2004 (“The Athens affair”) Rootkit on MSC Ericsson AXE Inbound and Outbound Voice calls, SMS in/out, forwarded to 14 “pay-as-you-go” SIM cards (anonymous ones) The illegally wiretapped cellphones in the Athens affair included those of the prime minister, his defense and foreign affairs ministers, top military and law enforcement officials, the Greek EU commissioner, activists, and journalists. Olympic Games 14 DEC 2007: Vodafone GR fined with 76M€ http://spectrum.ieee.org/telecom/ security/the-athens-affair http://en.wikipedia.org/wiki/Greek _telephone_tapping_case_20042005 Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → …«Privacy?!?» PRISM and other secret project’s scandals (“the Snowden case”) NSA’s budgets for black operations revealed http://rt.com/usa/snowden-leak-black-budget-176/ http://rt.com/usa/us-hacking-exploits-millions-104/ http://www.lemonde.fr/technologies/visuel/2013/08/27/plon gee-dans-la-pieuvre-de-la-cybersurveillance-de-lansa_3467057_651865.html http://www.repubblica.it/tecnologia/2013/08/31/news/sall_n sa_231_cyberattacchi_nel_2011_cos_colpiva_l_intelligence_americana65600302/ Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno NSA «black-ops Budget» exposed NSA’s “black budget”: 652M$ (2011) 231 black operation until today (2011) 16 US agencies involved from the US Intelligence community (107.035 employees) Targets: US intelligence agencies high priority: Iran Russia China Afghanistan North Korea Syria …… Cyber Attacks Unit “GENIE” Hacking into foreign systems in order to spy on contents, controlling functions http://articles.washingtonpost.com/2013-08-29/world/41709796_1_intelligencecommunity-intelligence-spending-national-intelligence-program Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno What happened on September 2013? Belgian Telco says it was hacked, while reports point to NSA or GCHQ as culprit http://gigaom.com/2013/09/16/belgian-telco-says-itwas-hacked-while-reports-point-to-nsa-or-gchq-asculprit/ Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Lo scenario odierno → «Privacy?!?» Ma mi faccia il piacere! Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Evolving scenarios: 2014-2017 Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 La Digital Forensics Tipologie di DF Computer Forensics; • Mobile Forensics; • GPS Forensics; • Network Forensics; • Cloud Forensics; • Etc….. • Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 La Digital Forensics Il dato Il dato digitale, per sua natura immateriale, può essere tipicamente ritrovato sul campo in tre diverse modalità: 1. Sequestrato 2. Copiato 3. Intercettato Qualunque altra situazione può essere ricondotta a una di queste tre. Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 La Digital Forensics Passi Operativi •Identificazione e repertamento •Acquisizione e verifica •Conservazione •Analisi •Valutazione e presentazione Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 La Digital Forensics On the field!!! UFED SPEKTOR Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 La Digital Forensics Tutti questi strumenti sono solamente di supporto all’analista forense! Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 La Digital Forensics Nelle aziende e nella PA cosa accade? Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Insider: casi reali Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Conclusioni • Il mondo in cui viviamo oggi è drasticamente cambiato: è il caso che ce ne accorgiamo! • Ci fidiamo ancora “troppo” degli altri; • Non consideriamo d’oro le nostre informazioni; • Il cybercrime ha successo (anche) perché non c’è abbastanza cultura • … contro i poteri oscuri come la NSA non possiamo ovviamente fare molto… • Ed a volte non è possibile recuperare tutto dal punto di vista forense, come ci fa vedere CSI Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Letture caldamente consigliate Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Letture consigliate /1 Profiling Hackers: the Science of Criminal Profiling as applied to the world of hacking, Raoul Chiesa, Stefania Ducci, Silvio Ciappi, CRC Press/Taylor & Francis Group, 2009 ● H.P.P. Questionnaires 2005-2010 ● Fatal System Error: the Hunt for the new Crime Lords who are bringing down the Internet, Joseph Menn, Public Affairs, 2010 ● ● Stealing the Network: How to 0wn a Continent, (an Identity), (a Shadow) (V.A.), Syngress Publishing, 2004, 2006, 2007 ● Stealing the Network: How to 0wn the Box, (V.A.), Syngress Publishing, 2003 Underground: Tales of Hacking, Madness and Obsession on the Electronic Frontier, Suelette Dreyfus, Random House Australia, 1997 ● The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, Clifford Stoll, DoubleDay (1989), Pocket (2000) ● ● Masters of Deception: the Gang that Ruled Cyberspace, Michelle Stalalla & Joshua Quinttner, Harpercollins, 1995 ● Kevin Poulsen, Serial Hacker, Jonathan Littman, Little & Brown, 1997 ● Takedown, John Markoff and Tsutomu Shimomura, Sperling & Kupfler, (Hyperion Books), 1996 ● The Fugitive Game: online with Kevin Mitnick, Jonathan Littman, Little & Brown, 1997 ● The Art of Deception, Kevin D. Mitnick & William L. Simon, Wiley, 2002 ● The Art of Intrusion, Kevin D. Mitnick & William L. Simon, Wiley, 2004 ● @ Large: the Strange Case of the World’s Biggest Internet Invasion, Charles Mann & David Freedman, Touchstone, 1998 Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Letture consigliate /2 ● The Estonia attack: Battling Botnets and online Mobs, Gadi Evron, 2008 (white paper) ● Who is “n3td3v”?, by Hacker Factor Solutions, 2006 (white paper) ● Mafiaboy: How I cracked the Internet and Why it’s still broken, Michael Calce with Craig Silverman, 2008 ● The Hacker Diaries: Confessions of Teenage Hackers, Dan Verton, McGraw-Hill Osborne Media, 2002 ● Cyberpunk: Outlaws and Hackers on the Computer Frontier, Katie Hafner, Simon & Schuster, 1995 ● Cyber Adversary Characterization: auditing the hacker mind, Tom Parker, Syngress, 2004 ● Inside the SPAM Cartel: trade secrets from the Dark Side, by Spammer X, Syngress, 2004 ● Hacker Cracker, Ejovu Nuwere with David Chanoff, Harper Collins, 2002 ● Compendio di criminologia, Ponti G., Raffaello Cortina, 1991 Criminalità da computer, Tiedemann K., in Trattato di criminologia, medicina criminologica e psichiatria forense, vol.X, Il cambiamento delle forme di criminalità e devianza, Ferracuti F. (a cura di), Giuffrè, 1988 ● United Nations Manual on the Prevention and Control of Computer-related Crime, in International Review of Criminal Policy – Nos. 43 and 44 ● Criminal Profiling: dall’analisi della scena del delitto al profilo psicologico del criminale, Massimo Picozzi, Angelo Zappalà, McGraw Hill, 2001 ● Deductive Criminal Profiling: Comparing Applied Methodologies Between Inductive and Deductive Criminal Profiling Techniques, Turvey B., Knowledge Solutions Library, January, 1998 ● Malicious Hackers: a framework for Analysis and Case Study, Laura J. Kleen, Captain, USAF, US Air Force Institute of Technology ● Criminal Profiling Research Site. Scientific Offender Profiling Resource in Switzerland. Criminology, Law, Psychology, Täterpro ● Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014 Contatti rc@security-brokers.com www.security-brokers.com Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
© Copyright 2024 Paperzz