Presentazione Raoul Chiesa

AIGA: 17 Gennaio 2014
Accesso abusivo informatico:
tra digital forensics e privacy
Raoul «Nobody» Chiesa
Founder, President, Security Brokers SCpA
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Agenda
• Il relatore
• Il 615/ter
• Lo scenario odierno
– Hackers
– Cybercrime
– Privacy?!?
• La Digital Forensics
• Conclusioni
• Bibliografia e sitografia
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Chi sono
→ Il relatore
• President, Founder, Security Brokers SCpA
• Principal, CyberDefcon Ltd., UK
• HPP Special Advisor @ UNICRI (United Nations
Interregional Crime & Justice Research Institute)
• PSG Member, ENISA (Permanent Stakeholders Group, European
Network & Information Security Agency)
• Founder, Board of Directors and Technical Commitee Member @
CLUSIT (Italian Information Security Association)
• Steering Committee, AIP/OPSI, Privacy & Security Observatory
• Member, Coordinator of the WG «Cyber World» at CASD/OSN
• Board of Directors, ISECOM
• Board of Directors, OWASP Italian Chapter
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Il 615 /ter
→ «Accesso abusivo a sistemi informatici protetti da misure di sicurezza»
• Norme del 1994
• Dopo il caso del Policlinico Gemelli (1993), sezione trapianti, prima dell’operazione
Ice Trap (1995)
• Ecosistema hacker molto differente; nuovi attori, nuova geopolitica (cfr. ITU Dubai
Dicembre 2012, Datagate, ….)
• «protetti da misure di sicurezza» ?!?
• DGLS 196 Privacy («protetti da adeguate misure di sicurezza)
• Legislazione rimasta ancorata al 1994 (password guessing, brute forcing, default
accounts: «old-school hacking»)
• Il «Domicilio telematico» (analogie e confronti tipo «è come se, entrati in casa, …»)
• Evoluzione delle tecnologie (3G & LTE, Wi-Fi, Bluetooth, smartphone & tablet, etc..),
delle tecniche di attacco e dell’impatto sociale e sulla privacy
• (anno 2000): passaggio dall’hacking «fine a sé stesso» al Crimine Organizzato
– Cybercrime Turnover: circa 10 miliardi di USD/anno (la punta dell’iceberg)
– Cybercrime: Russia, Ucraina, Cina, India, Lettonia, ….
– Information Warfare: USA, UK, Canada, Russia, Cina, India…..
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ Ecosistema hacker
Profile
OFFENDER ID
LONE / GROUP
HACKER
TARGET
MOTIVATIONS /
PURPOSES
Wanna Be Lamer
9-16 years
“I would like to be a
hacker, but I can’t”
GROUP
End-User
For fashion, It’s “cool” =>
to boast and brag
Script Kiddie
10-18 years
The script boy
GROUP: but they may act
alone
SME / Specific security
flaws
To give vent of their anger
/ attract mass-media
attention
Cracker
17-30 years
The destructor, burned
ground
LONE
Business company
To demonstrate their
power / attract massmedia attention
Ethical Hacker
15-50 years
The “ethical” hacker’s
world
LONE /
GROUP (only for fun)
Vendor / Technology
For curiosity (to learn) and
altruistic purposes
Quiet, Paranoid, Skilled
Hacker
16-40 years
The very specialized and
paranoid attacker
LONE
On necessity
For curiosity (to learn) =>
egoistic purposes
Cyber-Warrior
18-50 years
The soldier, hacking for
money
LONE
“Symbol” business
company / End-User
For profit
Industrial Spy
22-45 years
Industrial espionage
LONE
Business company /
Corporation
For profit
Government Agent
25-45 years
CIA, Mossad, FBI, etc.
LONE / GROUP
Government / Suspected
Terrorist/
Strategic company/
Individual
Espionage/
Counter-espionage
Vulnerability test
Activity-monitoring
Military Hacker
25-45 years
LONE / GROUP
Government / Strategic
company
Monitoring /
controlling /
crashing systems
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ Ecosistema hacker
DETERRENCE
EFFECT OF:
LAWS
CONVICTIONS
SUFFERED BY
OTHER
HACKERS
Wanna Be Lamer
NULL
NULL
ALMOST NULL
HIGH
HIGH
CONVICTIONS
SUFFERED BY
THEM
TECHNICAL
DIFFICULTIES
Script Kiddie
NULL
NULL
HIGH: they stop
after the 1st
conviction
Cracker
NULL
NULL
NULL
MEDIUM
NULL
Ethical Hacker
NULL
NULL
HIGH: they stop
after the 1st
conviction
Quiet, Paranoid,
Skilled Hacker
NULL
NULL
NULL
NULL
Cyber-Warrior
NULL
NULL
NULL
NULL: they do it
as a job
Industrial Spy
NULL
NULL
NULL
NULL: they do it
as a job
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ Perché «Cybercrime»?
“2011 Cybercrime financial turnover apparently
scored up more than Drugs dealing, Human
Trafficking and Weapons Trafficking turnovers”
«Cybercrime
ranks as one
of the top
four economic
crimes»
PriceWaterhouseCoopers LLC
Global Economic Crime
Survey 2011
Various sources (UN, USDOJ, INTERPOL, 2011)
Financial Turnover, estimation: 6-12 BLN USD$/year
Source: Group IB Report 2011 & 2012
http://www.group-ib.ru/wpcontent/uploads/2011/04/GroupIB_Report_Russian-cybercrimemarket_2011_eng.pdf
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ Perché «Cybercrime»?
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ Il Cybercrime non è (più) perpetrato da “hackers”
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ Shift geopolitico: 2013 - Map of Cyber Defense evolving Member States (partial)
Source: Flavia Zappa,
Security Brokers, 2013
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ Shift geopolitico: 2013 - Map of ITU Dubai General Assembly December (red=not signed; black=signed)
Source: Flavia Zappa,
Security Brokers, 2013
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ Attori
La prima caratteristica del cyberwarfare è che si
tratta di uno spettro molto ampio di tecniche di
confronto alla portata di un numero crescente di
attori, che le applicano per scopi, con modalità ed
intensità variabili e contro ogni genere di bersaglio
(infrastrutture critiche, sistemi governativi, sistemi
militari, aziende di ogni dimensione, banche, media,
gruppi di interesse, privati cittadini, …)
 Stati Nazionali
 IC / LEAs
 Cybercrime organizzato
 Hacktivisti
 Spie industriali
 Terroristi
 Corporations
 Mercenari
Tutti contro tutti
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Non si scherza più…
A PsyOps “test” via Twitter
(by the “Syrian Electronic Army”, a pro-Assad mercenary group)
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Non si scherza più…
Associated Press Twitter account hijacking caused to NYSE a 53B $ loss in 5 minutes
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
La situazione nel 2012
VITTIME PER TIPOLOGIA
Institutions: Gov - Mil - LEAs - Intelligence
Others
Industry: Entertainment / News
Industry: Online Services / Cloud
Institutions: Research - Education
Industry: Banking / Finance
Industry: Software / Hardware Vendor
Industry: Telco
Gov. Contractors / Consulting
Industry: Security Industry:
Religion
Industry: Health
Industry: Chemical / Medical
2011
2012
Variazioni 2012 su 2011
153
97
76
15
26
17
27
11
18
17
0
10
2
374
194
175
136
104
59
59
19
15
14
14
11
9
144,44%
100,00%
130,26%
806,67%
300,00%
247,06%
118,52%
72,73%
-16,67%
-17,65%
10,00%
350,00%
Nel 2012 gli attacchi sui ed ai Social Network sono aumentati del 800% rispetto
al 2011. Quelli al settore bancario del 247%….
Gli attacchi realizzati con successo sono diminuiti solo la dove hanno cominciato
ad applicare contromisure adeguate per prevenire le minacce.
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Nel 2013…
Macro-tipologie di attaccanti
ATTACCANTI PER TIPOLOGIA
Cybercrime
Unknown
Hacktivism
Espionage / Sabotage
Cyber warfare
2011
2012
Variazioni 2012 su 2011
2H 2012
1H 2013
Variazioni 1H 2013 su 2H 2012
170
148
114
23
14
633
110
368
29
43
272,35%
-25,68%
222,81%
26,09%
207,14%
294
0
189
17
16
293
0
211
41
17
-0,34%
11,64%
141,18%
6,25%
Nel 2013 il Cyber Crime è rimasto sostanzialmente ai livelli percentuali del 2012
(circa il 50% del totale, su 600 attacchi gravi analizzati tra gennaio e giugno). Sono
ulteriormente cresciuti:
 l’Hacktivism (sempre più di origine non occidentale)
 Le attività di Cyber Espionage (+140%)
 E si fanno notare le prime avvisaglie di Information Warfare
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Nel 2013…
Distribuzione degli attaccanti
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Nel 2013…
Classificazione delle vittime
Oltre alla crescita degli attacchi verso Gov/Mil ed Entertainment/News, si osserva
un aumento significativo di attacchi alle Banche. Tra le nuove categorie, Automotive
ed Infrastrutture Critiche (NB le auto stanno diventando computer semoventi)…
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Automotive Security
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Nel 2013…
Distribuzione delle vittime
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Nel 2013…
Classificazione delle tecniche di attacco
TECNICHE PER TIPOLOGIA
SQL Injection1
Unknown
DDoS
Known Vulnerabilities / Misconfig.
Malware
Account Cracking
Phishing / Social Engineering
Multiple Techniques / APT2
0-day3
Phone Hacking
2011
2012
Variazioni 2012 su 2011
2H 2012
1H 2013
1H 2013 su 2H 2012
197
73
27
107
34
10
10
6
5
0
435
294
165
142
61
41
21
13
8
3
120,81%
302,74%
511,11%
32,71%
79,41%
310,00%
110,00%
116,67%
60,00%
-
212
120
67
56
30
17
5
6
3
0
162
106
97
78
8
46
2
61
2
0
-23,58%
-11,67%
44,78%
39,29%
-73,33%
170,59%
-60,00%
916,67%
-33,33%
-
Anche nel 2013 la maggior parte degli attacchi sono stati realizzati con tecniche
ben conosciute, sfruttando la mancanza di patch, misconfigurazioni, falle
organizzative, la mancanza di awareness da parte degli utenti etc, ovvero tutte
vulnerabilità che potrebbero e dovrebbero essere mitigate con una certa facilità,
mentre anche in questo primo semestre rappresentano il 69% del totale.
Aumentano gli attacchi DDoS (+44%) e le APT (+900%).
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Nel 2013…
Classificazione delle tecniche di attacco
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ Parlando di DDoS… La situazione attuale in un grafico (ieri alle 11:45)
NB sotto quel pallino rosso c’è l’Italia. Questi sono i DDoS in corso in questo momento.
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ …«Privacy?!?»
 Vodafone Greece 2004 (“The
Athens affair”)
 Rootkit on MSC Ericsson AXE
 Inbound and Outbound Voice
calls, SMS in/out, forwarded to
14 “pay-as-you-go” SIM cards
(anonymous ones)
The illegally wiretapped cellphones in the Athens
affair included those of the prime minister, his
defense and foreign affairs ministers, top military
and law enforcement officials, the Greek EU
commissioner, activists, and journalists.
 Olympic Games
 14 DEC 2007: Vodafone GR
fined with 76M€
 http://spectrum.ieee.org/telecom/
security/the-athens-affair
 http://en.wikipedia.org/wiki/Greek
_telephone_tapping_case_20042005
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ …«Privacy?!?»
 PRISM and other secret project’s scandals
(“the Snowden case”)
 NSA’s budgets for black operations revealed
 http://rt.com/usa/snowden-leak-black-budget-176/
 http://rt.com/usa/us-hacking-exploits-millions-104/
 http://www.lemonde.fr/technologies/visuel/2013/08/27/plon
gee-dans-la-pieuvre-de-la-cybersurveillance-de-lansa_3467057_651865.html
 http://www.repubblica.it/tecnologia/2013/08/31/news/sall_n
sa_231_cyberattacchi_nel_2011_cos_colpiva_l_intelligence_americana65600302/
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
NSA «black-ops Budget» exposed
 NSA’s “black budget”: 652M$ (2011)
 231 black operation until today (2011)
 16 US agencies involved from the US Intelligence community (107.035
employees)
 Targets: US intelligence agencies high priority:







Iran
Russia
China
Afghanistan
North Korea
Syria
……
 Cyber Attacks Unit “GENIE”
 Hacking into foreign systems in order to spy on contents, controlling functions
 http://articles.washingtonpost.com/2013-08-29/world/41709796_1_intelligencecommunity-intelligence-spending-national-intelligence-program
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
What happened on September 2013?
Belgian Telco says it was
hacked, while reports point to
NSA or GCHQ as culprit
http://gigaom.com/2013/09/16/belgian-telco-says-itwas-hacked-while-reports-point-to-nsa-or-gchq-asculprit/
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Lo scenario odierno
→ «Privacy?!?» Ma mi faccia il piacere!
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Evolving scenarios: 2014-2017
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
La Digital Forensics
Tipologie di DF
Computer Forensics;
• Mobile Forensics;
• GPS Forensics;
• Network Forensics;
• Cloud Forensics;
• Etc…..
•
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
La Digital Forensics
Il dato
Il dato digitale, per sua natura immateriale, può essere tipicamente
ritrovato sul campo in tre diverse modalità:
1. Sequestrato
2. Copiato
3. Intercettato
Qualunque altra situazione può essere ricondotta a una di queste
tre.
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
La Digital Forensics
Passi Operativi
•Identificazione e repertamento
•Acquisizione e verifica
•Conservazione
•Analisi
•Valutazione e presentazione
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
La Digital Forensics
On the field!!!
UFED
SPEKTOR
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
La Digital Forensics
Tutti questi strumenti sono
solamente di supporto all’analista
forense!
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
La Digital Forensics
Nelle aziende e nella PA cosa
accade?
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Insider: casi reali
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Conclusioni
• Il mondo in cui viviamo oggi è drasticamente cambiato: è il
caso che ce ne accorgiamo!
• Ci fidiamo ancora “troppo” degli altri;
• Non consideriamo d’oro le nostre informazioni;
• Il cybercrime ha successo (anche) perché non c’è abbastanza
cultura
• … contro i poteri oscuri come la NSA non possiamo
ovviamente fare molto…
• Ed a volte non è possibile recuperare tutto dal punto di vista
forense, come ci fa vedere CSI 
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Letture caldamente consigliate
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Letture consigliate /1
Profiling Hackers: the Science of Criminal Profiling as applied to the world of hacking, Raoul Chiesa, Stefania Ducci, Silvio
Ciappi, CRC Press/Taylor & Francis Group, 2009
●
H.P.P. Questionnaires 2005-2010
●
Fatal System Error: the Hunt for the new Crime Lords who are bringing down the Internet, Joseph Menn, Public Affairs,
2010
●
●
Stealing the Network: How to 0wn a Continent, (an Identity), (a Shadow) (V.A.), Syngress Publishing, 2004, 2006, 2007
●
Stealing the Network: How to 0wn the Box, (V.A.), Syngress Publishing, 2003
Underground: Tales of Hacking, Madness and Obsession on the Electronic Frontier, Suelette Dreyfus, Random House
Australia, 1997
●
The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, Clifford Stoll, DoubleDay (1989), Pocket
(2000)
●
●
Masters of Deception: the Gang that Ruled Cyberspace, Michelle Stalalla & Joshua Quinttner, Harpercollins, 1995
●
Kevin Poulsen, Serial Hacker, Jonathan Littman, Little & Brown, 1997
●
Takedown, John Markoff and Tsutomu Shimomura, Sperling & Kupfler, (Hyperion Books), 1996
●
The Fugitive Game: online with Kevin Mitnick, Jonathan Littman, Little & Brown, 1997
●
The Art of Deception, Kevin D. Mitnick & William L. Simon, Wiley, 2002
●
The Art of Intrusion, Kevin D. Mitnick & William L. Simon, Wiley, 2004
●
@ Large: the Strange Case of the World’s Biggest Internet Invasion, Charles Mann & David Freedman, Touchstone, 1998
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Letture consigliate /2
●
The Estonia attack: Battling Botnets and online Mobs, Gadi Evron, 2008 (white paper)
●
Who is “n3td3v”?, by Hacker Factor Solutions, 2006 (white paper)
●
Mafiaboy: How I cracked the Internet and Why it’s still broken, Michael Calce with Craig Silverman, 2008
●
The Hacker Diaries: Confessions of Teenage Hackers, Dan Verton, McGraw-Hill Osborne Media, 2002
●
Cyberpunk: Outlaws and Hackers on the Computer Frontier, Katie Hafner, Simon & Schuster, 1995
●
Cyber Adversary Characterization: auditing the hacker mind, Tom Parker, Syngress, 2004
●
Inside the SPAM Cartel: trade secrets from the Dark Side, by Spammer X, Syngress, 2004
●
Hacker Cracker, Ejovu Nuwere with David Chanoff, Harper Collins, 2002
●
Compendio di criminologia, Ponti G., Raffaello Cortina, 1991
Criminalità da computer, Tiedemann K., in Trattato di criminologia, medicina criminologica e psichiatria forense,
vol.X, Il cambiamento delle forme di criminalità e devianza, Ferracuti F. (a cura di), Giuffrè, 1988
●
United Nations Manual on the Prevention and Control of Computer-related Crime, in International Review of
Criminal Policy – Nos. 43 and 44
●
Criminal Profiling: dall’analisi della scena del delitto al profilo psicologico del criminale, Massimo Picozzi, Angelo
Zappalà, McGraw Hill, 2001
●
Deductive Criminal Profiling: Comparing Applied Methodologies Between Inductive and Deductive Criminal
Profiling Techniques, Turvey B., Knowledge Solutions Library, January, 1998
●
Malicious Hackers: a framework for Analysis and Case Study, Laura J. Kleen, Captain, USAF, US Air Force Institute
of Technology
●
Criminal Profiling Research Site. Scientific Offender Profiling Resource in Switzerland. Criminology, Law,
Psychology, Täterpro
●
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014
Contatti
rc@security-brokers.com
www.security-brokers.com
Raoul Chiesa, Security Brokers @ AIGA, Tribunale di Torino, 17 Gennaio 2014