Sottotitolo Anti Krimen Expo 2001 Area Sicurezza Informatica

Con la collaborazione di:
Fabio Pietrosanti,
I.NET SpA
Anti Krimen
Expo 2001
Area Sicurezza
Informatica
12-13-14 ottobre 2001
Fortezza da Basso (FI)
Storia e psicologia Hacker
Raoul Chiesa
Analisi e simulazione di un
attacco informatico
Maurizio Agazzini
Sottotitolo
@ Mediaservice.net
Divisione Sicurezza Dati
Copyright
Questo insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni dei
trattati internazionali.
Il titolo ed i copyright relative alle trasparenze (ivi inclusi, ma non limitatamente a, ogni
immagine, fotografia, animazione, video e testo) sono di proprietà degli autori indicati.
Le trasparenze possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca,
scolastici ed universitari afferenti al Ministero della Pubblica Istruzione per scopi
istituzionali, non a fine di lucro.
Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente a, le
riproduzioni a mezzo stampa, su supporti magnetici o su reti di calcolatori) in toto o in
parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte dell’autore.
L’informazione contenuta in queste trasparenze è ritenuta essere accurata alla data della
pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in
progetti di impianti, prodotti, ecc.
L’informazione contenuta in queste trasparenze è soggetta a cambiamenti senza
preavviso. Gli autori non si assumono alcuna responsabilità per il contenuto di queste
trasparenze (ivi incluse, ma non limitatamente a, la correttezza, completezza, applicabilità
ed aggiornamento dell’informazione).
In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste
trasparenze.
In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata
anche in utilizzi parziali.
INDEX
The Company
Storia e psicologia hacking
Analisi di un attacco informatico
Simulazione di un attacco informatico
Conclusioni
Contacts
3
The Company
The Company
•Founded in 1997
•Wide Background, Direct Experience
•Tiger Team
•Specialized Focus, Security Underground
Vision
•Strong R&D
Hackers:
Who is Who
COS’E’ L’ ”HACKING” - 1/2
• Per l’Hacker
Non ho alcuna colpa, sto solo curiosando.
“Io non ho particolari talenti….Sono solo appassionatamente
curioso”
(Albert Einstein, fisico)
“Il mio unico crimine e' la curiosità”
(The Mentor, Hacker's Manifest, anni 80)
• Per l’Azienda
Con la loro curiosità accedono ai nostri dati riservati
“Può un ragazzino di 14 anni entrare nel vostro sistema informatico ?”
(Campagna pubblicitaria Sicurezza IBM Italia 1998/99)
7
COS’E’ L’ ”HACKING” - 2/2
Fare hacking significa accedere
abusivamente - vale a dire in modo
non autorizzato - a dei sistemi
informatici connessi a reti pubbliche
(Internet, X.25) e private (reti LAN
aziendali, VPN, accessi modem)
IERI: Hacking in cifre, Italia, 1997/1998 - 1/4
1997:
103 segnalazioni, 492
macchine coinvolte
(Fonte: Dati ufficiali CERT-IT)
1998:
143 segnalazioni
761 macchine coinvolte
Piramide dell’hacking: le intrusioni
(denunciate e non, 100%)
Piramide delle intrusioni:
95% -> 5%
(Fonte: Dati ufficiali CERT-IT)
Si stima che solo il 5%
delle intrusioni venga
denunciata dalle
Aziende
IERI: Hacking in cifre, Italia, 1997/1998 - 2/4
Provenienza degli attacchi denunciati:
Non accertata
Estero
Italia
1998
20%
29%
51%
Fonte: Dati ufficiali CERT-IT
1997
34%
42%
24%
IERI: Hacking in cifre, Italia, 1997/1998 - 3/4
Obiettivi degli attacchi Internet “ufficiali” dall’Italia
ITALIA
GERMANIA
FRANCIA
R.UNITO
.it
.de
.fr
.uk
.com
.gov
78 %
6%
4%
2%
0.5%
1%
Fonte: Dati ufficiali CERT-IT
IERI: Hacking in cifre, Italia, 1997/1998 - 4/4
Attività sulle macchine attaccate
74 “perlustrazioni”
17 root compromise (poteri da Amministratori di Sistema)
11 DoS (interruzione dei servizi erogati - spegnimento)
3 BO (attacchi su reti locali Microsoft Windows)
Tecniche utilizzate
• port scanning 41 attacchi, 552 macchine coinvolte
• spamming 10 attacchi, 39 macchine coinvolte
Fonte: Dati ufficiali CERT-IT
Hacking in cifre: World Incidents 1988->2000
9859
10000
9000
8000
1988
7000
1989
1990
6000
1991
1992
5000
4266
3734
4000
3000
2340 2412 2573
2000
1995
2134
1996
1997
773
1998
I° Trim . 2000
1999
1998
1997
1996
1995
1994
1993
1999
1992
1991
1990
406
132 252
1989
6
1988
0
1994
1334
1000
1993
I° Trim . 2000
Fonte: Dati ufficiali CERT/CC (CERT Coordination Center, USA)
OGGI: Hacking in cifre, Italia, 2001
Differenze
• Decine di centinaia di attacchi registrati
quotidianamente
• Diffusione automatizzata degli attacchi (WORM,
DDOS)
• Non necessità dell’attività “umana” per lanciare e
gestire gli attacchi (WORM)
• Responsabilità di terzi (macchine contagiate)
Hacking e Criminalità
Aree operative dell’“hacker criminale”
A scopo di lucro
•Furto/cancellazione di dati
•Transazioni finanziarie illegali
•Intercettazione di comunicazioni riservate
•Interruzione di servizi web
•Intrusione in archivi economici per transazioni on-line (carte di credito)
•Abuso di sistemi telefonici terresti e mobili (PSTN - GSM)
•Money Laundering
•Truffe economiche (casinò on-line, “consigli” di trading borsistico)
•A scopo di pura intrusione
•Furto di informazioni confidenziali
•Intercettazione di comunicazioni riservate
•Infezione di macchine troiani
o modificando le operazioni dei computer
•Utilizzo abusivo di computer e reti
InterNet Network History
Crescita della rete Internet
ANNO
1928
BACKBONES
0
N.° HOST
0
1968
50Kbps ARPANET
4
1973
50Kbps ARPANET
23
1976
50Kbps ARPANET + Satellite & Radio connections
111
1981
50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio
213
1983
50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio
562
1984
50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio
1024
1985
50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET
1961
1986
50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET
2308
1987
50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET
28.174
1988
50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET
56.000
1990
50 Kbps ARPANET + 56Kbps CSNET + Sat/Radio +1.544 Mbps (T1) NSFNET
313.000
1991
Partial 45 Mbps (T3) NSFNET, a few private backbones + Sat/Radio connections
617.000
1992
45 Mbps (T3) NSFNET, private interconnected backbones (56Kbps, 1.544 Mbps)
1.136.000
1993
45 Mbps (T3) NSFNET, private (56Kbps - 1.544Mbps - 45 Mbps lines) + Sat/Radio
2.056.000
1994
145 Mbps (ATM) NSFNET, private as above + Satellite & Radio connections
3.864.000
1995
145 Mbps (ATM) NSFNET (now private), private as above + 155 Mbps + Sat/Radio
6.642.000
1996
145 Mbps (ATM) NSFNET (now private), private as above + 155 Mbps + Sat/Radio
over 15.000.000
Hacking History
124 anni di storia tecnologica ed hacking
•1876:
Mr. Alexander Bell “inventa” il telefono
•1928:
primo utilizzo del termine “punk” per intendere “criminale”
•anni ‘30: Marconi rivoluziona le comunicazioni a distanza
•1934:
gli USA redigono il Comunication Act
•Anni ‘60: Nasce ARPANET e avviene la prima connessione Internet tra la UCLA ed il MIT (chat)
•1969:
Ad Helsinki nasce Linus Torwalds; negli anni ‘90 LINUX cambierà l’economia degli OS
•anni ‘70: Nasce il Phreaking e rimane per due intere generazioni; gli “Hacker” costruiscono la vera Internet
•anni ‘80: L’informatica diventa un fenomeno di massa. Home Computing, BBS, hacking in USA e Canada
•1984-1985: Nascono 2600 e Phrack Magazine, i pilastri della comunicazione hacker; hacking in Europa
•1986:
8 gennaio, The Mentor scrive “The Hacker’s Manifest”
•1988:
Il “Virus” WARM di R. Morris contagia per errore decine di migliaia di hosts su DECnet e Internet
•1992:
Il CERN di Ginevra inventa il protocollo ipertestuale HTTP e nasce il WEB (WWW)
•1991-1994: Uno studente finlandese decide di non usare l’MS-DOS e Windows, ma di creare il proprio OS: Linux
•1993:1997: L’hacking esplode in ogni parte tecnologizzata del mondo
•1994-2000: La filosofia Open Source, GNU e Freeware invade e sconvolge il mercato del software e del copyright
•1995:
Kevin “The Condor” Mitnick viene arrestato dall’F.B.I. dopo 14 anni di hacking, fughe e latitanze
•1998:
Il 65% delle tentate intrusioni va a buon fine. Obiettivi: sistemi governativi, militari, carrier telefonici
•1999:
Due hacker vengono condannati a morte in Cina: hanno rubato 2000 US$ da una banca cinese
•2000:
Febbraio/Marzo: gli episodi di Yahoo!, E-Bay ed Amazon scatenano il panico e la paura dell’hacker
•2000:
Marzo/Aprile: la comunità hacker si distacca dalla filosofia degli attacchi D.o.S./D.D.o.S.
Tipologie di Hacker
PROFILO PSICOLOGICO
Wannabe Lamer
(Vorrei essere hacker ma non ci riesco….)
Script Kiddie
(Il ragazzo degli script)
Cracker
(Terra bruciata, il Distruttore)
Ethical Hacker
(L’Hacker “Etico”)
Quiet, paranoid, skilled hacker
(L’hacker taciturno, paranoico, specializzato)
Cyber-Warrior
(Il mercenario, hacking a pagamento)
Industrial Spy
(La spia– Spionaggio industriale)
Government agent
(L’agente governativo, CIA, Mossad, FBI, etc..)
LIVELLO DI PERICOLOSITA’
NULLO
BASSO
ALTO
MEDIO
MEDIO
ALTO
ALTO
ALTO
Tipologie di reati
PROFILO PSICOLOGICO
REATI
Wannabe Lamer
(Vorrei fare l’hacker ma non ci riesco….)
Script Kiddie
(Il ragazzo degli script)
Cracker
(Terra bruciata, il Distruttore)
Ethical Hacker
(L’Hacker “Etico”)
Quiet, paranoid, skilled hacker
(L’hacker taciturno, paranoico, specializzato)
Cyber-Warrior
(Il mercenario, hacking a pagamento)
Industrial Spy
(La spia– Spionaggio industriale)
Government agent
(L’agente governativo, CIA, Mossad, FBI, etc..)
Nessuno
Nessuno/615 ter
635 bis/615 ter,quater,quinquies/420 c. 2
615 quater/615 ter
615 quater/615 ter/ (635)
615 quater,ter/640 ter Frode informatica
come sopra + eventguali aggravanti
come sopra + eventuali aggravanti
Attack Sophistication vs. Intruder Technical Knowledge:
Confronto tra la sofisticazione degli attacchi e le Conoscenze Tecniche
(skill level) dell’intruso
Denial of Service
WWW Attacks/Incidents
High
Tools
Intruder Knowledge
Stealth diagnostics
Automated Probes/Scans
GUI
Sniffers
Backdoors
Disabling audits
Packet spoofing
Hijacking sessions
Exploiting known vulnerabilities
Attack Sophistication
Password cracking
Self-replicating code
Low
Years
Attackers
Password guessing
1980
1985
1990
1995
Fonte: CERT/CC (USA)
1998
Year 2001 Hacking Trends
•Attacchi a Web Server IIS Microsoft based
•Spamming
•Abuso di accessi su Portali
•Sostituzioni di Home Page
•Falsificazione di transazioni E-commerce
•Worm a diffusione Client/Server
•Macro Virus via E-mail
Tecniche di intrusione maggiormente utilizzate
•Accesso diretto alla macchina
L’intruso accede direttamente ad un server della rete LAN. Nella maggior parte dei casi
l’intrusione avviene a causa di errori nei software del sistema operativo (bugs), delle sue
applicazioni o per errate configurazioni dei servizi
•Source routing
L’intruso acquisisce l’identità di un computer autorizzato ad accedere alla LAN e
comunica il percorso di risposta, in modo da redirigere (redirect) su di sé i pacchetti di
dati originariamente destinati all’utente autorizzato
•Spoofing
L’intruso si finge computer autorizzato ad accedere alla LAN e comunica direttamente
con i server, senza ricevere pacchetti di risposta
•Sniffing
L’intruso intercetta e legge i file durante il loro trasferimento sulla rete, acquisendo quindi
password di accesso etc.
Analisi di un
attacco
informatico
Schema di un attacco 1/2: GLI ELEMENTI
B
C
Sistema
vittima
(target)
Base di partenza sicura
precedentemente acquisita
Hacker
A
24
Schema di un attacco 2/2: LE AZIONI
C
B
Utilizzo di B come
“sistema-ponte” dal
quale sferrare
l’attacco verso C
Attacco ad Istituto di Credito
Camuffamento linea
telefonica
A
Attacco tramite reti estere: mascheramento
Credit card
telefoniche
Sede del
centralino
telefonico
internazionale:
chiamata
verso un
Internet
Provider
americano
Attacco via
Internet
proveniente
dagli USA verso
sistema italiano
26
ATTACCO: Fase di acquisizione delle informazioni
• tipo di sistema operativo
• versione di sistema operativo
• acquisizione di documentazione sullo stesso
• pacchetti di sicurezza installati
• acquisizione documentazione sugli stessi
• utenti registrati sul sistema
• acquisizione informazioni sugli stessi
• ricerca eventuali altre uscite esistenti
• scanning degli altri host presenti
• controllo delle chiamate in ingresso ed in uscita
• controllo orari di utilizzo della macchina ed orari "liberi”
• controllo del tipo di amministrazione
Simulazione
di un attacco
informatico
Conclusioni
Using Hacking to get a better
Company’s Security
Trovare una Security Company che conosca veramente
le tecniche hacking (o, per meglio dire, che abbia
assunto Ethical Hackers nel proprio staff) ed
autorizzarla (richiesto per legge) a
PROBE YOUR SYSTEMS:
• Security Probes sulle Connessioni Esterne (Internet ed accessi remoti
alla vostra Azienda)
• Security Probes sulle reti LAN (Network, OS, Appliances e Procedure
Web)
• PBX (Private Branch Exchange) Probes
Questo vi aiuterà a scoprire i vostri security holes e
preservare la vostra immagine aziendale
30
Conclusioni
•Necessità di una Cultura della Sicurezza nel nostro Paese
•Collaborazione ed interfacciamento tra Internet Provider,
Aziende e Polizia Informatica (N.O.P.T.)
•Aggiornamenti software continui ai propri sistemi server
•Consulenze esterne fornite da veri professionisti del settore in
collaborazione con i propri Security Manager e System
Manager
•Attenti studi sulla psicologia hacker ed il vero confine tra
hacker e criminale (hacking etico=Ricerca ed Innovazione
nell’I.T. Security)
Contacts
@ Mediaservice.net
Divisione Sicurezza Dati
New Concepts on
Security Services
Relatori:
Raoul Chiesa, Maurizio Agazzini
D.S.D. Members @ Mediaservice.net Srl - ITALY
Fabio Pietrosanti, I.NET SpA
33
@ Mediaservice.net
Consulting and Technical Solutions
for your Corporate Security & Image
Telephone: +39-011-32.72.100
E-mail: [email protected]
General Info: [email protected]