SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Bologna 2012 Gentili-Fratepietro cyberwar
1. Strategie e strumenti in ambiti di
CYBER WAR
L’incontro tra il red team ed il blue team
Re amm
d
Te Emanuele Gentili Stefano Fratepietro TeTea
a m l uelue
B B
sabato 30 giugno 12
2. Emanuele Gentili
Amministratore unico di Tiger Security S.r.l.
Offensive Security Certified Professional Trainer
2
Security and Cyber Intelligence Advisor
European Project Leader in BackTrack Linux - Penetration Test OS
http://www.emanuelegentili.eu http://www.tigersecurity.it
http://www.twitter.com/emgent http://www.backtrack-linux.org
http://it.linkedin.com/in/emanuelegentili http://www.exploit-db.com
Re
d am
Te Te
a m Emanuele Gentili Stefano Fratepietro
ue
l
B
sabato 30 giugno 12
3. Stefano Fratepietro
Consulente di Computer Forensics per procure, forze dell’ordine e
grandi aziende italiane
‣Buongiorno
Vitaminic!
‣Telecom
Italia
-‐
Ghioni 3
Certificato OSSTMM Professional Security Tester (OPST)
Certificato Offensive Security Certified Professional (OSCP)
DEFT Project Leader
http://www.deftlinux.net http://steve.deftlinux.net
http://www.twitter.com/stevedeft http://www.linkedin.com/in/stefanofratepietro
Re
d am
Te Te
a m Emanuele Gentili Stefano Fratepietro
ue
l
B
sabato 30 giugno 12
4. Obiettivi
‣ Dimostrare che la guerra digitale esiste e viene praticata
quotidianamente
‣ Dimostrare che c’e’ la necessità di proteggere le infrastrutture
informatiche con personale competente e pro-attivo
4
‣ Dimostrare che alcuni governi applicano politiche aggressive nel
cyber spazio
‣ Dimostrare che sono necessarie politiche di difesa e raccolta di
informazioni
Re
d am
Te Te
a m Emanuele Gentili Stefano Fratepietro
ue
l
B
sabato 30 giugno 12
5. BackTrack Linux 5
am
am
Te
Te
Emanuele Gentili Stefano Fratepietro ue
led
B
R
sabato 30 giugno 12
6. BackTrack Linux
Distribuzione GNU/Linux Live installabile per
attività di cyber intelligence e di Penetration Test.
Nasce nel 2006 come progetto indipendente
Oltre 600 tools per svolgere test di sicurezza ed
investigazione.
Rispetto delle Metodologie STANDARD internazionali PTES,
OSSTMM, OWASP, OSINT. 6
Piu’ di nove milioni di download unici dalle nostre
infrastrutture ( 9,237,811 - 03 Marzo 2012)
Oggi è sviluppata e gestita da due società del settore
( Offensive Security e Tiger Security )
Utilizzata da agenzie di intelligence e reparti governativi della
difesa.
www.backtrack-linux.org am
am
Te
Te
Emanuele Gentili Stefano Fratepietro ue
led
B
R
sabato 30 giugno 12
7. BackTrack Linux
Cyber Defense Exercise “ Se avessi avuto Back|Track Linux qualche
anno fa, mi avrebbe fatto risparmiare molto
tempo.”
Kevin D. Mitnick
“ Back|Track è la via più veloce per andare dal
boot del sistema locale all’ accesso root del
7
sistema che vuoi attaccare ”
H.D. Moore
“ Back|Track è l’ arma utilizzata dai ninja
hacker. ”
www.nsa.gov Johnny Long
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
8. DEFT Linux 8
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
9. DEFT
Digital Evidence & Forensic Toolkit Nato nel 2005 in collaborazione con la
cattedra del corso di Informatica Forense
dell’Università degli studi di Bologna. Dal
2007 diventa un progetto indipendente.
Fornisce una serie di soluzioni multi
piattaforma per la risoluzione di
9
problematiche di Computer Forensics,
Incident Response e Cyber Intelligence
Team composto da 9 persone, tutte italiane,
di cui 2 in forza presso la GdF e la Polizia
www.deftlinux.net Postale
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
10. Il Panorama 10
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
11. Il panorama attuale
? Aziende, Banche e
Privati
Governo A Governo B Collaborazione
Pr
ofila
z ion
ee
co
11
ntr
ast
Pro
o
filaz
ion
Att
ee
i
atic
Attacchi informatici
acc
Collaborazione con
rm
h
i in
info
tra
for
sto
hi
m
acc
atic
Att
i
Ethical Hackers Hacktivisti Black Hat Hacker
Re
d am
Te Te
a m Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
12. #OpNewSon
http://pastebin.com/3QW97ADi
‣ 1. Public Broadcasting System http://
‣ 15. Glencore http:// ‣ 29. Avia http://www.aviva.com/
www.pbs.org/
www.glencore.com/
‣ 30. Wells Fargo https://
‣ 2. Bethblog http://www.bethblog.com/
‣ 16. Volkswagen http:// www.wellsfargo.com/
‣ 3. British Telecom http://www.bt.com/ www.volkswagenag.com
‣ 31. KPMG http://www.kpmg.com
‣ 4. ExxonMobil http:// ‣ 17. Fannie Mae http://
‣ 32. Kroger http://www.kroger.com
www.fanniemae.com
12
www.exxonmobil.com
‣ ‣ 33. Rio Tinto http://www.riotinto.com/
‣ 5. Royal Dutch Shell http:// 18. Allianz https://www.allianz.com
www.shell.com/
‣ 19. Hewlett-Packard http://
‣ 34. Bank of China http://www.boc.cn
‣ 6. Walmart http://www.walmart.com/ www.hp.com/ ‣ 35. Mitsubishi http://
www.mitsubishicorp.com
‣ 7. British Petroleum http:// ‣ 20. AT&T http://www.att.com
www.bp.com
‣ 21. Carrefour http://
‣ 36. Reliance Industries Limited http://
www.ril.com/
‣ 8. Sinopec http://sinopec.com/ www.carrefour.com/
‣ ‣ 37. Dongfeng Motor http://
‣ 9. Chevron http://www.chevron.com/ 22. AXA http://www.axa.com www.dfmc.com.cn/
‣ 10. State Grid Corporation of China ‣ 23. Assicurazioni Generali http://
‣ 38. Maersk http://www.maersk.com
http://www.sgcc.com.cn www.generali.com
‣ ‣ 39. Saint-Gobain http://www.saint-
‣ 11. Toyota http://www.toyota- 24. Cargill http://www.cargill.com/ gobain.com
‣
global.com/
25. Bank of America https://
‣ 40. UniCredit http://
‣ 12. PetroChina http:// www.bankofamerica.com/ www.unicreditgroup.eu
‣
www.petrochina.com.cn
26. Tesco http://www.tesco.com/
‣ 41. Nokia http://www.nokia.com
‣ 13. Japan Post Holdings http://
‣
www.japanpost.jp
27. Apple http://www.apple.com/
‣ 42. Posco http://www.posco.com
‣ 14. Vitol http://www.vitol.com ‣ 28. IBM http://www.ibm.com
‣ 43. MetLife http://www.metlife.com/
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
13. La situazione Italiana
'Cybercooperation, cyberwarfare and cybersecurity on the eve of 21st Century' (Roma)
Senatore Esposito: “L'Italia - spiega il senatore Esposito - è impreparata mentalmente e
strutturalmente ad affrontare gli attacchi informatici alle sue infrastrutture digitali.
Occorre al più presto una cabina di regia che coordini, con il livello politico, la difesa 13
informatica presso la Presidenza del Consiglio, ispirata a qualche modello già
adottato da altri stati sensibili a questo problema. C'è anche un'altra carenza italiana:
manca un centro di raccolta dei dati sugli attacchi. L'Italia non può devolvere la
propria sovranità agli Usa o alla Nato”.
am
Te
Emanuele Gentili
l ue
B
sabato 30 giugno 12
14. La Cyberwar
Il ciberspazio è un campo di battaglia come nessun altro prima.
Nel cyberspace i nemici non mostrano bandiere, non è possibile definire la loro
posizione e qualunque astuzia può essere utilizzata come nuovo vettore di attacco.
Non ci sono, di fatto, algoritmi speciali o strumenti a disposizione esclusiva di una sola
delle parti. Nessun gruppo e nessun singolo governo è stato infatti in grado di
14
monopolizzare lo sviluppo di armi digitali.
I rapporti di forza tra nemici non hanno nessuna attinenza con quelli che siamo abituati
ad ritenere validi per il mondo fisico.
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
15. La Cyberwar
Non esiste un codice civile, penale o militare universalmente riconosciuto. Ogni
contendente, nei fatti, non segue altro che che le proprie regole. Nel ciberspazio la
guerra è una lotta tra etiche ed intelligenze (o demenze?).
Nella rete ogni battaglia è spesso combattuta senza conoscere effettivamente le
risorse, sia economiche sia tecnologiche, del proprio avversario.
15
Recuperare gli indizi di un attacco, le “evidenze”, è compito degli esperti di computer
forensic. Sulla base delle loro indicazioni possono essere dedotte strategie,
tecnologie e la reale (o presunta tale) identità dei nemici.
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
16. Strategie e Processi 16
Operativi
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
17. Introduzione Strategie e Processi Operativi
(Blue Team)
Attività preventive:
1. Implementare policy di verifica con un approccio di “sicurezza offensiva”
(aumentare la sicurezza della propria infrastruttura attaccandola, verificando ed
eliminando vulnerabilità - avvalendosi di operatività amica - prima che queste attività
le faccia qualcun altro, magari con cattive intenzioni). 17
2. Predisporre piani di business continuity
3. Utilizzare strumenti GRC (Governance, Risk Management, and Compliance) e SIEM
(Security Information and Event Management)
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
18. Introduzione Strategie e Processi Operativi
(Blue Team)
Attività a seguito della individuazione di un
problema/anomalia
18
Spegnimento ed
Analisi ed
Attività di verifica acquisizione dei server
Investigazione
in produzione
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
19. Battefield forensic
Acquisizione dati in ambiente ostile richiedono strumenti
tecnologici standard ma nuove metodologie e protocolli.
Le unità operative sul terreno comunicano tra loro digitalmente,
con continuità, tra loro e con le strutture di comando (lasciando
19
a loro volta “evidenze” di comunicazione).
Richiede formazione specifica del personale coinvolto nelle
operazioni (esempio: gestione degli strumenti e dei supporti da
analizzare successivamente alle operatività sul campo).
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
20. Battefield forensic
Joint special operation university 20
https://jsou.socom.mil/Pages/Default.aspx
https://jsou.socom.mil/Pages/2009JSOUPublications.aspx
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
21. Strategie e Processi 21
Operativi
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
22. Introduzione Strategie e Processi Operativi
Individuazione (Red Team)
TARGET
WorkFlow di una attività
intrusiva strutturata
Cyber
Penetration
Privilege
22
Intelligence Escalation
?
Diversivo
Mantenimento
Attività
Accesso
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
23. Cyber Intelligence
Individuare un punto di accesso a volte è più semplice di
quanto si possa pensare.
23
Iniziando dalle basi:
DNS Google Dork
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
24. Cyber Intelligence (DNS)
CENSORED 24
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
25. Cyber Intelligence (DNS)
CENSORED 25
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
26. Cyber Intelligence (DNS)
CENSORED 26
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
27. Cyber Intelligence (DNS)
CENSORED 27
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
28. Cyber Intelligence (Google Dork)
CENSORED 28
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
29. Cyber Intelligence (Google Dork)
CENSORED 29
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
30. Penetration
30
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
31. Penetration
G
IN
CK
A D 31
H N
L A
O H
O Y
H B
SC IT
O LD DO
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
32. Penetration
32
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
33. Penetration
33
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
34. Cronistoria delle 34
operazioni recenti
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
35. Hacktivisti vs Governi
35
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
36. Hacktivisti vs Aziende
36
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
37. Blackhat vs Aziende, Banche e Privati
37
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
38. Governi VS Hacktivisti
38
am
Te
Emanuele Gentili Stefano Fratepietro e
lu
B
sabato 30 giugno 12
39. Governi VS Blackhat
39
am
Te
Emanuele Gentili Stefano Fratepietro e
lu
B
sabato 30 giugno 12
40. Governi VS GOVERNI
40
Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici del governo americano.
Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe.”
am
Te
Emanuele Gentili Stefano Fratepietro
l ue
B
sabato 30 giugno 12
41. INFORMAZIONE 41
DEGNA DI NOTA
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
43. Conclusioni 43
RED TEAM
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
44. Conclusioni Red Team
‣ Gli attaccanti risiedono in posizione privilegiata.
‣ I fattori “tempo” e “risorse” sono spesso 44
fondamentali ma non necessari.
‣ A problematiche “Umane” non esiste cura
(ingegneria sociale).
am
Emanuele Gentili Stefano Fratepietro
Te
ed
R
sabato 30 giugno 12
45. Conclusioni 45
BLUE TEAM
am
Te
Emanuele Gentili Stefano Fratepietro e
lu
B
sabato 30 giugno 12
46. Conclusioni Blue Team
‣ La miglior difesa è la conoscenza delle tecniche
di attacco.
‣ Architetture complesse richiedono un’attenta 46
progettazione.
‣ Eseguire “cyber defence excercises”.
‣ A problematiche “Umane” non esiste cura
(curare la formazione del personale).
am
Te
Emanuele Gentili Stefano Fratepietro e
lu
B
sabato 30 giugno 12
47. Grazie per 47
l’attenzione
Emanuele Gentili Stefano Fratepietro
sabato 30 giugno 12