Sottotitolo Anti Krimen Expo 2001 Area Sicurezza Informatica
Transcript
Sottotitolo Anti Krimen Expo 2001 Area Sicurezza Informatica
Con la collaborazione di: Fabio Pietrosanti, I.NET SpA Anti Krimen Expo 2001 Area Sicurezza Informatica 12-13-14 ottobre 2001 Fortezza da Basso (FI) Storia e psicologia Hacker Raoul Chiesa Analisi e simulazione di un attacco informatico Maurizio Agazzini Sottotitolo @ Mediaservice.net Divisione Sicurezza Dati Copyright Questo insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relative alle trasparenze (ivi inclusi, ma non limitatamente a, ogni immagine, fotografia, animazione, video e testo) sono di proprietà degli autori indicati. Le trasparenze possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione per scopi istituzionali, non a fine di lucro. Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente a, le riproduzioni a mezzo stampa, su supporti magnetici o su reti di calcolatori) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte dell’autore. L’informazione contenuta in queste trasparenze è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, ecc. L’informazione contenuta in queste trasparenze è soggetta a cambiamenti senza preavviso. Gli autori non si assumono alcuna responsabilità per il contenuto di queste trasparenze (ivi incluse, ma non limitatamente a, la correttezza, completezza, applicabilità ed aggiornamento dell’informazione). In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste trasparenze. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. INDEX The Company Storia e psicologia hacking Analisi di un attacco informatico Simulazione di un attacco informatico Conclusioni Contacts 3 The Company The Company •Founded in 1997 •Wide Background, Direct Experience •Tiger Team •Specialized Focus, Security Underground Vision •Strong R&D Hackers: Who is Who COS’E’ L’ ”HACKING” - 1/2 • Per l’Hacker Non ho alcuna colpa, sto solo curiosando. “Io non ho particolari talenti….Sono solo appassionatamente curioso” (Albert Einstein, fisico) “Il mio unico crimine e' la curiosità” (The Mentor, Hacker's Manifest, anni 80) • Per l’Azienda Con la loro curiosità accedono ai nostri dati riservati “Può un ragazzino di 14 anni entrare nel vostro sistema informatico ?” (Campagna pubblicitaria Sicurezza IBM Italia 1998/99) 7 COS’E’ L’ ”HACKING” - 2/2 Fare hacking significa accedere abusivamente - vale a dire in modo non autorizzato - a dei sistemi informatici connessi a reti pubbliche (Internet, X.25) e private (reti LAN aziendali, VPN, accessi modem) IERI: Hacking in cifre, Italia, 1997/1998 - 1/4 1997: 103 segnalazioni, 492 macchine coinvolte (Fonte: Dati ufficiali CERT-IT) 1998: 143 segnalazioni 761 macchine coinvolte Piramide dell’hacking: le intrusioni (denunciate e non, 100%) Piramide delle intrusioni: 95% -> 5% (Fonte: Dati ufficiali CERT-IT) Si stima che solo il 5% delle intrusioni venga denunciata dalle Aziende IERI: Hacking in cifre, Italia, 1997/1998 - 2/4 Provenienza degli attacchi denunciati: Non accertata Estero Italia 1998 20% 29% 51% Fonte: Dati ufficiali CERT-IT 1997 34% 42% 24% IERI: Hacking in cifre, Italia, 1997/1998 - 3/4 Obiettivi degli attacchi Internet “ufficiali” dall’Italia ITALIA GERMANIA FRANCIA R.UNITO .it .de .fr .uk .com .gov 78 % 6% 4% 2% 0.5% 1% Fonte: Dati ufficiali CERT-IT IERI: Hacking in cifre, Italia, 1997/1998 - 4/4 Attività sulle macchine attaccate 74 “perlustrazioni” 17 root compromise (poteri da Amministratori di Sistema) 11 DoS (interruzione dei servizi erogati - spegnimento) 3 BO (attacchi su reti locali Microsoft Windows) Tecniche utilizzate • port scanning 41 attacchi, 552 macchine coinvolte • spamming 10 attacchi, 39 macchine coinvolte Fonte: Dati ufficiali CERT-IT Hacking in cifre: World Incidents 1988->2000 9859 10000 9000 8000 1988 7000 1989 1990 6000 1991 1992 5000 4266 3734 4000 3000 2340 2412 2573 2000 1995 2134 1996 1997 773 1998 I° Trim . 2000 1999 1998 1997 1996 1995 1994 1993 1999 1992 1991 1990 406 132 252 1989 6 1988 0 1994 1334 1000 1993 I° Trim . 2000 Fonte: Dati ufficiali CERT/CC (CERT Coordination Center, USA) OGGI: Hacking in cifre, Italia, 2001 Differenze • Decine di centinaia di attacchi registrati quotidianamente • Diffusione automatizzata degli attacchi (WORM, DDOS) • Non necessità dell’attività “umana” per lanciare e gestire gli attacchi (WORM) • Responsabilità di terzi (macchine contagiate) Hacking e Criminalità Aree operative dell’“hacker criminale” A scopo di lucro •Furto/cancellazione di dati •Transazioni finanziarie illegali •Intercettazione di comunicazioni riservate •Interruzione di servizi web •Intrusione in archivi economici per transazioni on-line (carte di credito) •Abuso di sistemi telefonici terresti e mobili (PSTN - GSM) •Money Laundering •Truffe economiche (casinò on-line, “consigli” di trading borsistico) •A scopo di pura intrusione •Furto di informazioni confidenziali •Intercettazione di comunicazioni riservate •Infezione di macchine troiani o modificando le operazioni dei computer •Utilizzo abusivo di computer e reti InterNet Network History Crescita della rete Internet ANNO 1928 BACKBONES 0 N.° HOST 0 1968 50Kbps ARPANET 4 1973 50Kbps ARPANET 23 1976 50Kbps ARPANET + Satellite & Radio connections 111 1981 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio 213 1983 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio 562 1984 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio 1024 1985 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 1961 1986 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 2308 1987 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 28.174 1988 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 56.000 1990 50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET 313.000 1991 Partial 45 Mbps (T3) NSFNET, a few private backbones + Sat/Radio connections 617.000 1992 45 Mbps (T3) NSFNET, private interconnected backbones (56Kbps, 1.544 Mbps) 1.136.000 1993 45 Mbps (T3) NSFNET, private (56Kbps - 1.544Mbps - 45 Mbps lines) + Sat/Radio 2.056.000 1994 145 Mbps (ATM) NSFNET, private as above + Satellite & Radio connections 3.864.000 1995 145 Mbps (ATM) NSFNET (now private), private as above + 155 Mbps + Sat/Radio 6.642.000 1996 145 Mbps (ATM) NSFNET (now private), private as above + 155 Mbps + Sat/Radio over 15.000.000 Hacking History 124 anni di storia tecnologica ed hacking •1876: Mr. Alexander Bell “inventa” il telefono •1928: primo utilizzo del termine “punk” per intendere “criminale” •anni ‘30: Marconi rivoluziona le comunicazioni a distanza •1934: gli USA redigono il Comunication Act •Anni ‘60: Nasce ARPANET e avviene la prima connessione Internet tra la UCLA ed il MIT (chat) •1969: Ad Helsinki nasce Linus Torwalds; negli anni ‘90 LINUX cambierà l’economia degli OS •anni ‘70: Nasce il Phreaking e rimane per due intere generazioni; gli “Hacker” costruiscono la vera Internet •anni ‘80: L’informatica diventa un fenomeno di massa. Home Computing, BBS, hacking in USA e Canada •1984-1985: Nascono 2600 e Phrack Magazine, i pilastri della comunicazione hacker; hacking in Europa •1986: 8 gennaio, The Mentor scrive “The Hacker’s Manifest” •1988: Il “Virus” WARM di R. Morris contagia per errore decine di migliaia di hosts su DECnet e Internet •1992: Il CERN di Ginevra inventa il protocollo ipertestuale HTTP e nasce il WEB (WWW) •1991-1994: Uno studente finlandese decide di non usare l’MS-DOS e Windows, ma di creare il proprio OS: Linux •1993:1997: L’hacking esplode in ogni parte tecnologizzata del mondo •1994-2000: La filosofia Open Source, GNU e Freeware invade e sconvolge il mercato del software e del copyright •1995: Kevin “The Condor” Mitnick viene arrestato dall’F.B.I. dopo 14 anni di hacking, fughe e latitanze •1998: Il 65% delle tentate intrusioni va a buon fine. Obiettivi: sistemi governativi, militari, carrier telefonici •1999: Due hacker vengono condannati a morte in Cina: hanno rubato 2000 US$ da una banca cinese •2000: Febbraio/Marzo: gli episodi di Yahoo!, E-Bay ed Amazon scatenano il panico e la paura dell’hacker •2000: Marzo/Aprile: la comunità hacker si distacca dalla filosofia degli attacchi D.o.S./D.D.o.S. Tipologie di Hacker PROFILO PSICOLOGICO Wannabe Lamer (Vorrei essere hacker ma non ci riesco….) Script Kiddie (Il ragazzo degli script) Cracker (Terra bruciata, il Distruttore) Ethical Hacker (L’Hacker “Etico”) Quiet, paranoid, skilled hacker (L’hacker taciturno, paranoico, specializzato) Cyber-Warrior (Il mercenario, hacking a pagamento) Industrial Spy (La spia– Spionaggio industriale) Government agent (L’agente governativo, CIA, Mossad, FBI, etc..) LIVELLO DI PERICOLOSITA’ NULLO BASSO ALTO MEDIO MEDIO ALTO ALTO ALTO Tipologie di reati PROFILO PSICOLOGICO REATI Wannabe Lamer (Vorrei fare l’hacker ma non ci riesco….) Script Kiddie (Il ragazzo degli script) Cracker (Terra bruciata, il Distruttore) Ethical Hacker (L’Hacker “Etico”) Quiet, paranoid, skilled hacker (L’hacker taciturno, paranoico, specializzato) Cyber-Warrior (Il mercenario, hacking a pagamento) Industrial Spy (La spia– Spionaggio industriale) Government agent (L’agente governativo, CIA, Mossad, FBI, etc..) Nessuno Nessuno/615 ter 635 bis/615 ter,quater,quinquies/420 c. 2 615 quater/615 ter 615 quater/615 ter/ (635) 615 quater,ter/640 ter Frode informatica come sopra + eventguali aggravanti come sopra + eventuali aggravanti Attack Sophistication vs. Intruder Technical Knowledge: Confronto tra la sofisticazione degli attacchi e le Conoscenze Tecniche (skill level) dell’intruso Denial of Service WWW Attacks/Incidents High Tools Intruder Knowledge Stealth diagnostics Automated Probes/Scans GUI Sniffers Backdoors Disabling audits Packet spoofing Hijacking sessions Exploiting known vulnerabilities Attack Sophistication Password cracking Self-replicating code Low Years Attackers Password guessing 1980 1985 1990 1995 Fonte: CERT/CC (USA) 1998 Year 2001 Hacking Trends •Attacchi a Web Server IIS Microsoft based •Spamming •Abuso di accessi su Portali •Sostituzioni di Home Page •Falsificazione di transazioni E-commerce •Worm a diffusione Client/Server •Macro Virus via E-mail Tecniche di intrusione maggiormente utilizzate •Accesso diretto alla macchina L’intruso accede direttamente ad un server della rete LAN. Nella maggior parte dei casi l’intrusione avviene a causa di errori nei software del sistema operativo (bugs), delle sue applicazioni o per errate configurazioni dei servizi •Source routing L’intruso acquisisce l’identità di un computer autorizzato ad accedere alla LAN e comunica il percorso di risposta, in modo da redirigere (redirect) su di sé i pacchetti di dati originariamente destinati all’utente autorizzato •Spoofing L’intruso si finge computer autorizzato ad accedere alla LAN e comunica direttamente con i server, senza ricevere pacchetti di risposta •Sniffing L’intruso intercetta e legge i file durante il loro trasferimento sulla rete, acquisendo quindi password di accesso etc. Analisi di un attacco informatico Schema di un attacco 1/2: GLI ELEMENTI B C Sistema vittima (target) Base di partenza sicura precedentemente acquisita Hacker A 24 Schema di un attacco 2/2: LE AZIONI C B Utilizzo di B come “sistema-ponte” dal quale sferrare l’attacco verso C Attacco ad Istituto di Credito Camuffamento linea telefonica A Attacco tramite reti estere: mascheramento Credit card telefoniche Sede del centralino telefonico internazionale: chiamata verso un Internet Provider americano Attacco via Internet proveniente dagli USA verso sistema italiano 26 ATTACCO: Fase di acquisizione delle informazioni • tipo di sistema operativo • versione di sistema operativo • acquisizione di documentazione sullo stesso • pacchetti di sicurezza installati • acquisizione documentazione sugli stessi • utenti registrati sul sistema • acquisizione informazioni sugli stessi • ricerca eventuali altre uscite esistenti • scanning degli altri host presenti • controllo delle chiamate in ingresso ed in uscita • controllo orari di utilizzo della macchina ed orari "liberi” • controllo del tipo di amministrazione Simulazione di un attacco informatico Conclusioni Using Hacking to get a better Company’s Security Trovare una Security Company che conosca veramente le tecniche hacking (o, per meglio dire, che abbia assunto Ethical Hackers nel proprio staff) ed autorizzarla (richiesto per legge) a PROBE YOUR SYSTEMS: • Security Probes sulle Connessioni Esterne (Internet ed accessi remoti alla vostra Azienda) • Security Probes sulle reti LAN (Network, OS, Appliances e Procedure Web) • PBX (Private Branch Exchange) Probes Questo vi aiuterà a scoprire i vostri security holes e preservare la vostra immagine aziendale 30 Conclusioni •Necessità di una Cultura della Sicurezza nel nostro Paese •Collaborazione ed interfacciamento tra Internet Provider, Aziende e Polizia Informatica (N.O.P.T.) •Aggiornamenti software continui ai propri sistemi server •Consulenze esterne fornite da veri professionisti del settore in collaborazione con i propri Security Manager e System Manager •Attenti studi sulla psicologia hacker ed il vero confine tra hacker e criminale (hacking etico=Ricerca ed Innovazione nell’I.T. Security) Contacts @ Mediaservice.net Divisione Sicurezza Dati New Concepts on Security Services Relatori: Raoul Chiesa, Maurizio Agazzini D.S.D. Members @ Mediaservice.net Srl - ITALY Fabio Pietrosanti, I.NET SpA 33 @ Mediaservice.net Consulting and Technical Solutions for your Corporate Security & Image Telephone: +39-011-32.72.100 E-mail: [email protected] General Info: [email protected]