Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti dal cyber-spazio

Dal cyber-crime al cyber-warfare: le minacce per
aziende e governi derivanti dal cyber-spazio

Foggia, 14 dicembre 2012
Danilo De Rogatis

Agenda

 # whoami e obiettivi del seminario
 Introduzione al mondo dell'Hacking
 Cybercrime: lo scenario attuale
 Deep Web e Black Market
 Underground Economy

Dal cyber-crime al cyber-warfare: le minacce per SIEB Foggia – 14 dicembre 2012 2
aziende e governi derivanti dal cyber-spazio Danilo De Rogatis

Disclaimer

I contenuti di questa presentazione non violano alcuna
proprietà intellettuale e non sono in contrasto con la vigente
legislazione.

Parte del materiale utilizzato è liberamente tratto e
rielaborato da una serie di fonti autorevoli, tra cui Raoul
Chiesa, che ringrazio personalmente.

I marchi citati appartengono ai rispettivi proprietari.

Le opinioni qui espresse sono esclusivamente quelle
dell'autore.


# whoami (pagina dei “bollini”)

Laurea in Informatica e Master in Sicurezza Informatica ed
Investigazioni Digitali

Responsabile Area Sistemi Informativi ed Innovazione
Tecnologica dell’Università di Foggia

OSSTMM Professional Security Tester Certified

Docente in corsi mirati alla sicurezza informatica

IT & Security Consultant (G8 Summit 2009, ADISU Puglia,
Tamma, etc.)

Security Evangelist & Independent Researcher

Autore di articoli sulla Sicurezza Informatica per HTML.IT:
http://www.html.it/autore/daniloderogatis

Clusit Member, IEEE Senior Member


Obiettivi del seminario

 Fornirvi una serie di informazioni
sul mondo dell'Hacking, del
Cybercrime e dell'Information
Security in genere e stimolare la
vostra curiosità su tematiche di
Sicurezza Informatica.

 Darvi la pillola rossa (ricordate
Matrix?) e innalzare il vostro livello
di consapevolezza in merito a cosa
succede realmente oggi nel
Cyberworld.

 Annoiarvi a morte ^_^


La cultura hacker

E' un movimento culturale che nasce a cavallo tra gli anni '50 e '60 in ambienti
universitari (MIT, Stanford, Carnegie Mellon), con un gruppo di studenti
appassionati di modellissimo ferroviario, i quali si divertivano a gestire una serie
di trenini comandati attraverso un sistema telefonico.
Si evolve in “computer hacking” con l'arrivo del TX-0, uno dei primi modelli di
computer arrivati al MIT che gli studenti utilizzavano per sviluppare software per
migliorare l'efficienza di questa macchina. Come non citare Spacewar, il primo
videogame interattivo, casuale, gratuito, libero.
Nella seconda metà degli anni settanta il termine "hacker" aveva assunto la
connotazione di élite. In senso generale, computer hacker era chiunque
scrivesse il codice software per il solo gusto di riuscirci (es. Richard Stallmann).
Anni 80 e 90, etica hacker (1984: "Hackers. Gli eroi della rivoluzione
informatica", autore Steven Levy), BBS, e-zine (es. 2600) violazione di sistemi
per sola curiosità e sete di sapere, scambio di informazioni.
Anni 2000 in poi: si perdono i legami con la cultura hacker delle origini, l'hacking
“va di moda” e l'unico obiettivo è quello di far soldi. Inoltre l'hacking si mischia
con questioni politiche e sociali, trasformandosi in quello che oggi viene
chiamato hacktivism (Anonymous, LulsZec, etc.)


Chi è davvero l'hacker?

Definizione n. 1 del JargonFile:

hacker: n.

[originally, someone who makes furniture (fare
mobili) with an axe]

1. A person who enjoys exploring the details of
programmable systems and how to stretch their
capabilities, as opposed to most users, who prefer to
learn only the minimum necessary. RFC1392, the
Internet Users' Glossary, usefully amplifies this as: A
person who delights in having an intimate
understanding of the internal workings of a system,
computers and computer networks in particular.

Fonte: http://www.catb.org/jargon/

La tipica classificazione

Black-Hat: violano deliberatamente i sistemi informatici,
rubano informazioni riservate, le rivendono o le usano per
condurre ulteriori attacchi essenzialmente per denaro.

Grey-Hat: i cosiddetti “Ethical Hackers”, ovvero hackers che
hanno lo skill per violare sistemi informatici, ma che
attaccano i sistemi con il consenso del proprietario per
scoprire e segnalare eventuali vulnerabilità.

White-Hat: i “cacciatori”, ovvero coloro che hanno lo skill
White-Hat
necessario e sufficiente per essere considerati Black-Hat.
Generalmente collaborano con le Forze dell'Ordine: non
violano sistemi e se lo fanno non è mai per scopi criminali.


Hacker's Profiling Project (HPP)

Uno studio condotto a partire dal 2004 da un team
composto da famosi esperti di Sicurezza Informatica
italiani (Raoul Chiesa, Alessio Pennasilico),
Psicologi e Criminologi (Silvio Ciappi, Stefania
Ducci, Elisa Bortolani).

Patrocinato da UNICRI (United Nations Interregional
Crime and Justice Research Institute) e da
ISECOM (Institute for Security and Open
Methodologies)
Obiettivi:
– applicazione della scienza del Criminal
Profiling al mondo dell'Hacking;
– Rivisitazione della stessa al fine di tracciare un
profilo psicologico, comportamentale e
motivazionale di chi pratica l'hacking nelle varie
forme


Cos'è il cyber-crime?

Un crimine come tutti
gli altri, ma con
l'aggiunta della
componente
informatica, che può
essere il mezzo e/o il
fine del crimine.


Video

I numeri del Cybercrime


I numeri del Cybercrime
 Il Global Risks Report 2012 del World Economic Forum,
analizzando le 50 principali minacce globali dei prossimi 10 anni e
classificandole per impatto e probabilità, nella sezione “Rischi
tecnologici” pone al primo posto il cybercrime.
 I ricavi diretti, a livello mondiale, del computer crime market–
ovviamente stimati, dato che il crimine organizzato non tiene una
“contabilità ufficiale”! – variano tra i 7 ed i 10-12 miliardi di dollari
all’anno.
 I costi diretti e indiretti per governi, industrie, aziende e privati
cittadini si aggirano intorno ai 110 miliardi di dollari all'anno.
 La somma più alta rubata dagli attori del cybercrime in una singola
azione, da un singolo conto bancario, ammonta a 14,8 milioni di
dollari.

Fonti: Rapporto Clusit 2012, 2012 Norton Cybercrime Report

Alcuni casi emblematici: Sony


Alcuni casi emblematici: Sony
 Periodo: aprile – ottobre 2011
 Tipologia di attacchi: DDoS, SQLi, Social Engineering, Hacking.
 Attaccanti: Hacktivisti (Anonymous, LulzSec), Lone hackers, ignoti.
 Oltre 100 milioni di profili completi degli utenti sottratti dal Network di
videogiocatori e dalla piattaforma di Online Entertainment
 Interruzione dei propri servizi di gioco online (utilizzati da 77 milioni di
utenti) per ben 24 giorni
 Perdite finanziare dirette e risarcimenti: diverse centinaia di
milioni di dollari
 - 30% della sua capitalizzazione in borsa

Fonte: Rapporto Clusit 2012

Alcuni casi emblematici: HBGary Federal
 Periodo: febbraio 2011
 Tipologia di attacchi: SQLi, Social Engineering, Hacking.
 Attaccanti: Hacktivisti (Anonymous)
 Anonymous viola l'account Twitter del CEO dell'azienda, che aveva
annunciato di aver infiltrato con successo il gruppo Anonymous stesso:
vengono pubblicati online indirizzo, numero di telefono, SSN.
 Vengono violate le difese della rete aziendale e pubblicate circa 68 mila
email riservate della società (tra le quali molte estremamente
imbarazzanti...), cancellando file di backup e disattivando il sistema telefonico
interno.
 Le password degli account compromessi sono risultate palesemente
inadeguate (e ripetute su più sistemi), soprattutto per un'azienda che si
occupa di sicurezza per Enti Governativi degli Stati Uniti.
 Neanche a dirlo, in conseguenza dell’attacco il CEO è stato indotto a
dimettersi (e successivamente, sempre per guai con Anonymous, ha perso
anche il successivo lavoro.

Fonti: Rapporto Clusit 2012 - http://it.wikipedia.org/wiki/Anonymous#Attacco_alla_HBGary_Federal

Alcuni casi emblematici: banche


Alcuni casi emblematici: banche
 Periodo: giugno 2011
 Tipologia di attacchi: Exploit, RAT, furto tramite ATM
 Attaccanti: ignoti cybercriminali
 Furto di oltre 360.000 profili utente contenenti informazioni personali e
finanziarie.
 L'Istituto è costretto a riemettere centinaia di migliaia di carte di credito ed
a sostenere notevoli spese di notifica e di aggiornamento dei propri sistemi.
 Perdite finanziarie enormi
 Gigantesco danno di immagine

Fonti: Rapporto Clusit 2012
http://www.wired.com/threatlevel/2011/06/citibank-hacked/


I principali target



Le tecniche di attacco più usate



I più “cattivi”


E in Italia?


E in Italia? DDoS contro Repubblica.it


E in Italia? I target



Deep Web o Dark Web o Invisible Web...etc.


Deep Web: i numeri

Circa 500 volte più grande del Web “ufficiale”, indicato in gergo
come ClearWeb;
Non individuabile attraverso i classici motori di ricerca (Google, Bing,
etc.);
Diviso in varie categorie:
– Dynamic content (pagine dinamiche in risp. a query)
– Unlinked content (pagine non linkate da altre pagine)
– Private Web (password protected)
– Limited access content (es. via CAPTCHA)
– Scripted content (accessibili solo tramite link generati da script
JS o dinamicamente da siti Ajax e Flash)
– Non-HTML/text content (codificato in immagini/video)
– Gopher protocol e FTP content (Google indicizza solo http e
https)


Perchè nasce il Deep Web?

Il Deep Web nasce per necessità di anonimato in rete.
Ecco ad esempio chi ha bisogno di anonimato:

Forze di polizia, per effettuare indagini telematiche
sotto copertura.

Giornalisti, per lavorare in paesi sottoposti a regimi
censori e in zone di conflitto.

Dissidenti politici informatizzati, per comunicare con
il mondo esterno.

Aziende, per consultare siti di concorrenti o per attività
di job recruiting.

Comuni cittadini, per non essere sottoposti a profiling.


Deep Web: come accedervi

 Tramite la rete TOR (The Onion Router),
ovvero una rete nata per garantire un buon
livello di anonimato, gestita da volontari e i
cui nodi sono sparsi nei cinque continenti.
 Nasce da un progetto in ambito militare.
 Dal 2004 è sostenuto dalla EFF (Electronic
Frontier Foundation)
 Bisogna conoscere le URL che sono
generalmente costituite da una successione
di caratteri seguiti dal suffisso .onion, come
ad es. questo (provate a vedere cos'è... ;-)):

http://jtnkelklmsiq5cqa.onion/

Deep Web e Black Market

E' anche vero, però, che il
deep web è uno degli strumenti
più utilizzati dai cyber-criminali
per vendere i loro prodotti e
“servizi”, rimanendo per quanto
possibile anonimi.

Una parte del Deep Web viene
infatti usato per ospitare il
cosiddetto Black Market,
ovvero un mercato nero online
in cui è possibile trovare di
tutto: droga, armi, servizi di
hacking e perfino killer su
commissione...


Black Market: Malware

In questo post il venditore offre
SpyEye, un malware in grado
di trafugare credenziali HTTP
ed FTP

Fonte: Raoul Chiesa

Black Market: Spam Campaigns

Questa organizzazione di nome
EvaPharmacy offre ai gestori di
Botnet il 45% su ogni vendita
conclusa con successo proveniente
Dalla propria campagna di Spam

Si stima che l'85% dello Spam è
generato da botnets

Fonte: Raoul Chiesa

Card fraud

Visa, MasterCard US: $ 4 cad.
Con saldo verificato: $ 10
Visa,MasterCard UK: $ 10
Con saldo verificato: $ 20

Fonte: Raoul Chiesa

Se la carta non funziona ti rimborsiamo...


Si accede su invito...


Q&A

 Da dove provengono i dati delle carte di credito venduti sul Black Market?
– Skimming, phishing, botnet, violazione siti di e-commerce e e-payment, social
engineering
 Dove vengono vendute le carte di credito?
– Sul “mercato nero”, principalmente su forum specifici oppure su canali
tematici di chat come IRC
 E' difficile acquistarle?
– Per niente, provate a digitare su Google “cvv2 track2 pin”
 Quanto costano?
– Dipende dal tipo di carta (le più richieste sono ovviamente VISA, Mastercard e
101), dal saldo (balance) e se è verificato e dalla quantità (è richiesto uno
stock minimo). Alcuni esempi:
• Visa, MasterCard US: $ 4 cad.
• Con saldo verificato: $ 10
• Visa,MasterCard UK: $ 10
• Con saldo verificato: $ 20
Fonte: Raoul Chiesa

Black Market: listino prezzi sul mercato
russo
 SOCKS bot (aggira i firewall): $100
 Hiring a DDoS attack: $30-$70/day, $1,200/month
 Botnet: $200 per 2,000 bots
 DDoS botnet: $700
 ZeuS source code: $200-$500
 Windows rootkit (installing malicious drivers): $292
 Hacking Facebook or Twitter account: $130
 Hacking Gmail account: $162
 Email spam: $10 per one million emails
 SMS spam: $3-$150 per 100-100,000 messages
 0-day: $ 30.000 – $ 100.000


Cybercrime: perchè?

A causa della netta prevalenza di utenti con poca esperienza e
soprattutto poca consapevolezza dei rischi, oggi è più semplice
sottrarre denaro ed esistono molti modi per farlo.


Underground economy: un vero e proprio
modello di business

€ €
Sviluppatori Criminali “Launderers”

- Sviluppano malware - Rubano identità - Forniscono servizi di “e-
- Costruiscono botnet - Raccolgono dati personali laundering”
- Azioni di hacking - Raccolgono dati finanziari - Trasferiscono il denaro
- Trasferiscono denaro dai rubato su conti anonimi
C/C delle vittime mediante sistemi di
- Comprano beni usando il money transfer legittimi
denaro delle vittime - Costruiscono una rete di
money mules

Fonte: Raoul Chiesa

Sei diventato un “mulo”?
I ‘muli’ o, più correttamente, “money mules”
sono soggetti che hanno accettato false offerte di
lavoro via internet in cui devono ricevere
trasferimenti di denaro per poi inoltrarli
nell’Est Europa, direttamente a destinazione o
attraverso altri ‘muli’.

Drop ovvero specialisti che agiscono su
commissione, trasferendo somme di denaro
conto terzi, si occupano anche di reclutare e
gestire reti di altri 'muli' più o meno
inconsapevoli...


Se tutti i “muli” fossero così...:-)
Kristina Svechinskaya, russa,
oggi 23enne, faceva parte di un
gruppo di cyberciminali
internazionali accusati di aver
sottratto denaro a banche
americane per oltre 3 milioni di
dollari e inglesi per oltre 9.5
milioni di dollari.
Arrestata nel 2010 dall'FBI, il suo
ruolo era proprio quello di “money
mule”.
Quella che è stata battezzata
“l'hacker più sexy del mondo”
avrebbe utilizzato il trojan Zeus,
in grado di carpire i dati di
accesso ai conti bancari, per
violare i risparmi di decine di
utenti, che avrebbe poi versato in
appositi conti.


Come “lavare” il denaro sporco...
1. I cybercriminali intercettano le
credenziali bancarie di aziende o
privati attraverso trojan specializzati
(Zeus, SpyeEye etc.) oppure con altri
metodi come spear phishing, MiTM,
Social Engineering, keylogging, etc.).

2. I pc infettati dal trojan e facenti
parte della relativa botnet inviano e-
mail di spam contenenti finte
offerte di lavoro di tipo
“amministrativo”, il cui unico scopo è
quello di reclutare i c.d. “money
mules”.

3. I ‘muli’ sono individui che, allettati
da facili guadagni, hanno accettato
queste false offerte di lavoro via
internet in cui devono ricevere
trasferimenti di denaro per poi
inoltrarli nell’Est Europa,
direttamente a destinazione o
attraverso altri ‘muli’.


Come “lavare” il denaro sporco...
Dopo averlo reclutato, i criminali, spacciandosi per una Corporation, chiedono al
mulo di aprire un conto bancario a suo nome, ad esclusivo uso della “Corporation”

OPPURE

I criminali inviano un assegno al mulo Il mulo invia i dati bancari ai criminali,
e gli chiedono di prelevare il 90-95% che vi trasferiscono piccole somme di
della somma, trattenendo il 5-10% denaro (1000-2000 $)
come proprio “compenso”

Dopo aver prelevato il denaro, il mulo deve
poi recarsi presso un'agenzia di wire transfer
(es. Western Union, Money Gram, etc.) e
trasferire il denaro alla “corporation”.

L'assegno però si rivela falso e La somma trasferita dai criminali sul conto del
la banca annulla l'operazione, mulo proviene in realtà da un conto
lasciano il povero “mulo” con il OPPURE compromesso, il cui titolare si rivolge alla
conto pesantemente in rosso. banca, la quale annulla l'operazione,
lasciando il “mulo” nei guai con la legge.


Carte di credito prepagate

Un altro metodo molto diffuso è quello di acquistare carte di credito
prepagate: esistono infatti molti servizi che consentono di comprare in modo
del tutto anonimo carte di credito prepagate del circuito electron con tagli da
500 a 2000 dollari

1. I criminali acquistano un certo numero di carte di credito prepagate,
utilizzando ovviamente il denaro sottratto a conti bancari compromessi o
comunque da riciclare.

2. I criminali inviano le carte ad un drop che trattiene la sua fee e preleva
denaro contante.

3. Il drop invia il denaro contante ai criminali attraverso uno dei servizi di
money transfer già citati.


Bitcoin

Si sta sempre affermando l'utilizzo di E-Currency (moneta elettronica), in
particolare Bitcoin, per finalità del tutto legittime ovvero pagamenti elettronici.
Bitcoin può però essere utitlizzato anche per riciclare denaro, a causa della
sicurezza e non-ripudiabilità delle transazioni.

Bitcoin è una moneta elettronica introdotta nel 2008 presumibilmente da un
programmatore (o da gruppo di programmatori) dietro lo pseudonimo di
Satoshi Nakamoto. Attualmente vale circa 13,33 dollari e si scambia
attraverso un software che si installa sul proprio pc e che costituisce il proprio
“portafoglio elettronico”. Il software si connette poi ad una rete di nodi peer-to-
peer attraverso la quale viaggiano le transazioni.

In estrema sintesi, in fase di installazione del software, ogni utente genera una
coppia di chiavi pubblica/privata secondo l'architettura PKI. La prima
viene diffusa sulla rete, la seconda viene conservata sul PC.

Se un utente A deve trasferire bitcoin ad un utente B, il software prepara un
“pacchetto” di informazioni contenente la chiave pubblica di B (the address) e
la quantità di bitcoin da trasferire firmando la transazione con la chiave privata
di A. L'informazione viene poi distribuita sulla rete e tutti i nodi intermedi
attraversati validano la transazione utilizzando la chiave pubblica di A.


Bitcoin

I bitcoin possono essere generati anche unendosi ad un “Mining Pool”, ovvero
un Gruppo di utenti che hanno deciso di condividere e mettere a disposizione
le risorse di calcolo del proprio computer per ottenere più bitcoin possibili, che
vengono poi suddivisi fra i membri del gruppo secondo la percentuale di
risorse messa a disposizione da ognuno.

Come già accennato, le transazioni sono:

- sicure perchè crittografate

- non ripudiabili

- Esistono inoltre host detti “miners” che contengono un registro pubblico delle
transazioni, ovvero unba sorta di log che assicura che un pagamento non
possa essere fatto più volte.

Come si cambiano i bitcoin in valuta corrente?

Esistono varie agenzie di cambio come ad es. Mt. Gox che, ovviamente a
fronte di una commissione, permette sia di acquistare che di vendere (cioè di
cambiare) bitcoin convertendoli in valuta locale.


Cybercrime: chi c'è dietro?

Fonti: http://www.baselinemag.com/c/a/Security/10-Notorious-Cyber-Gangs/2/, Raoul Chiesa


RBN

RBN è l'acronimo di Russian Business Network
Alcune delle sue “attività”:

 Phishing
 Malware (rogue AV, trojans, fake mobile
games etc.)
 Fraud & Scams
 Attacchi DdoS
 Pedofilia digitale (pornografia minorile)
 Porno
 Online games

Fonti: http://www.baselinemag.com/c/a/Security/10-Notorious-Cyber-Gangs/2/, Raoul Chiesa


Botnet, zombie e altri mostri...

Una botnet è una rete di computer collegati ad
Internet che fanno parte di un insieme di computer
controllato da un'unica entità, il botmaster.

Ciò può essere causato da falle nella sicurezza
o mancanza di attenzione da parte dell'utente e
dell'amministratore di sistema, per cui i computer
vengono infettati da virus informatici o trojan i
quali consentono ai loro creatori di controllare il
sistema da remoto.

I controllori della botnet possono in questo modo
sfruttare i sistemi compromessi per scagliare
attacchi distribuiti del tipo distributed denial-
of-service (DDoS) oppure compiere altre
operazioni illecite.
I computer che compongono la botnet sono
chiamati bot (da roBOT) o zombie.

Schema logico della botnet


Attacchi tramite botnet

• Distributed Denial-of-Service
(DDoS)

• Spamming

• Diffusione di malware

• Traffic sniffing

• Keylogging

• Furto di identità


La vuoi una Botnet?

Non hai tempo/voglia/competenze per costruirti la tua botnet?
Allora acquistala o fittala!

Servizio Prezzo

Acquisto botnet composta da 2000 $ 200
bots (40% uptime garantito)

DdoS botnet $ 700

Affitto $ 2 / ora

Fonte: Trend Micro Incorporated Research Paper 2012


C&C Server attivi


Albert Gonzalez

 Circa 200 milioni di dollari rubati
 Circa 180 milioni di carte di credito rubate
 Tecniche usate: Accesso Wi-Fi, ATM
skimming, trojan, SQL injection
 Una rete di collaboratori estesa fino in Russia
 Nell'istante dell'arresto fu trovato in possesso di
1.5 milioni di dollari in contanti, di cui 500.000 $
sepolti in giardino
 Condannato nel 2010 a 20 anni di reclusione

Fonte: Raoul Chiesa

Max Butler aka Iceman aka Max Vision

Fonte: Raoul Chiesa

Sono criminali veri

Fonte: Raoul Chiesa

...ma vengono beccati lo stesso!

Fonte: Raoul Chiesa

Letture “illuminanti”

Kingpin: How One Hacker Took Over the Billion-Dollar Cybercrime
Underground – Kevin Poulsen (February 7, 2012)

Fatal System Error: The Hunt for the New Crime Lords Who Are Bringing
Down the Internet by Joseph Menn (Oct 26, 2010)

Mafiaboy: How I Cracked the Internet and Why It's Still Broken by Michael
Calce and Craig Silverman (Sep 30, 2008)

Profiling Hackers: The Science of Criminal Profiling as Applied to the World
of Hacking - Raoul Chiesa, Stefania Ducci and Silvio Ciappi (Dec 11, 2008)

Spaghetti hacker - Andrea Monti Stefano Chiccarelli (Jan 1, 2011)


Passo il “testimone” a Stefano e...


...Grazie per l'attenzione!

http://www.linkedin.com/in/daniloderogatis

@DaniloDeRogatis

dderog@gmail.com

http://www.html.it/autore/daniloderogatis


Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti dal cyber-spazio

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (19)

Similar a Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti dal cyber-spazio

Similar a Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti dal cyber-spazio (20)

Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti dal cyber-spazio