Smau Milano 2011 Stefano Fratepietro

BackTrack e Deft Linux
Intelligence, Security e Response

1
Emanuele Gentili Stefano Fratepietro

Re
d am
Te Te
a m l ue
B
lunedì 7 novembre 2011 1

Emanuele Gentili

Amministratore unico di Tiger Security S.r.l.

Offensive Security Certiﬁed Professional Trainer

Security Advisor per agenzie governative di intelligence e servizi 2
European Project Leader in BackTrack Linux - Penetration Test OS

http://www.emanuelegentili.eu http://www.tigersecurity.it
http://www.twitter.com/emgent http://www.backtrack-linux.org
http://it.linkedin.com/in/emanuelegentili http://www.exploit-db.com

am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R

Stefano Fratepietro

IT security specialist per il CSE (Consorzio Servizi Bancari)

DEFT Linux – Computer Forensic live cd project leader 3
Consulente di Computer Forensic per procure, forze
dellʼordine e grandi aziende italiane
‣ Buongiorno Vitaminic!
‣ Telecom Italia - Ghioni

am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B

Obbiettivi Workshop
‣ Dimostrare che la guerra digitale esiste e viene
praticata giornalmente

‣ Dimostrare che c’e’ la necessità di proteggere le
infrastrutture informatiche con personale
competente e pro attivo
4
‣ Dimostrare che la Cina applica politiche
aggressive nel cyber spazio

‣ Dimostrare che sono necessarie politiche di
Re
difesa e raccolta di informazioni
d am
Te Te
a m l ue

BackTrack Linux
Distribuzione GNU/Linux Live installabile per
attività di cyber intelligence e di Penetration Test.

Nasce nel 2006 come progetto indipendente

Oltre 600 tools per svolgere test di sicurezza ed
investigazione.

Rispetto delle Metodologie STANDARD internazionali PTES,
OSSTMM, OWASP, OSINT.

Quasi sei milioni di download unici dalle nostre infrastrutture
( 5,997,811 - 18 Ottobre 2011)
5
Oggi è sviluppata e gestita da due società del settore
( Offensive Security e Tiger Security )

Utilizzata da agenzie di intelligence e reparti governativi della
difesa.

www.backtrack-linux.org am
Te
ed

Obbiettivi del progetto

‣ Mettere a disposizione un sistema
operativo completo e funzionale, pronto
all’uso, per attività di Cyber Intelligence ed
Intrusione Informatica 6
‣ Offrire formazione certiﬁcata unica nel suo
genere

am
Te
ed

Feedback Pubblici
Cyber Defense Exercise “ Se avessi avuto Back|Track Linux qualche
anno fa, mi avrebbe fatto risparmiare molto
tempo.”
Kevin D. Mitnick

“ Back|Track è la via più veloce per andare dal
boot del sistema locale all’ accesso root del
sistema che vuoi attaccare ”
7
H.D. Moore

“ Back|Track è l’ arma utilizzata dai ninja
hacker. ”
Johnny Long
www.nsa.gov

am
Te
ed

Un po di numeri...
‣ Core Team composto da 10 persone,
appartenenti a società specializzate

‣ oltre 200 contributori stimati in tutto il mondo
‣ 5 gruppi di supporto localizzati 8
‣ Quasi sei milioni di download (Release 5 R1)
‣ Utilizzata in pianta stabile da almeno 7 equipe
specializzate all’interno di agenzie governative
e militari
am
Te
ed

Principali Caratteristiche
‣ Inizialmente basata su Slax poi su Ubuntu, da
oltre una release e’ completamente gestita ed
ottimizzata solo ed esclusivamente dal core
team
9
‣ Utilizza un sistema di pacchettizzazione proprio
ingegnerizzato appositamente, mantenendo la
compatibilità al formato .deb

‣ Include software proprietario di alto livello
grazie a partnership con le più importanti
am
aziende al mondo (a costo zero per l’utente) Te
ed

Architettura

10

am
Te
ed

Documentazione Pubblica

‣ Disponibile nelle lingue: inglese, italiano,
spagnolo, portoghese, tedesco e francese.

‣ Documentazione mirata al framework di 11
attacco Metasploit rilasciata pubblicamente
chiedendo donazioni in sostegno al progetto
Hacker For Charity.

am
Te
ed

D E FT

Acronimo di Digital Evidence & Forensic Toolkit

Nato nel 2005 in collaborazione con la cattedra
del corso di Informatica Forense dell’Università 12
degli studi di Bologna

Dal 2007 diventa un progetto indipendente
am
Te
l ue

Obiettivi del progetto

• Fornire una serie di soluzioni multi
piattaforma per la risoluzione di
problematiche di Computer Forensic e
Incident Response 13
• Non si pone come concorrente ai tool
enterprise come Encase, FTK e Xway Forensic

• Documentazione
am
Te
l ue

Un po di numeri...

• Team composto da 6 persone, tutte italiane,
di cui 3 in forza presso la GdF e la Polizia
Postale
14
• 6 anni di esperienza maturata sul campo
• Più di 195.000 download solo nel 2010
• 1300 utenti facebook
• 650 utenti attivi nel forum Te
am
l ue

DEFT come
Forensic bag
Sistema Linux live che
mantiene inalterato il
contenuto delle memorie di
massa del sistema ospitante

15
+
software computer
forensics per Linux
Interfaccia graﬁca veloce
+ ed intuitiva per sistemi
Windows ideale per
l’esecuzione di attività di
+ pre analisi
software computer
forensics per Windows am
Te
l ue

Principali
caratteristiche
• Basato sul progetto Lubuntu
• 2.6.35 - usb 3 ready
• Sleuthkit 3.2 + Libewf 16
• Supporto per i Logic Volume Manager (LVM)
• Digital Forensic Framework
• Xplico 0.6
am
Te
l ue

Documentazione
• Attualmente disponibile in lingua inglese ed
italiana
• Entro la ﬁne del 2012 anche in Spagnolo,
Portoghese e Cinese
17
• Una serie di how-to per eseguire le principali
attività informatico forensi
• Man page di tutti gli applicativi
am
Te
l ue

Le fasi dello sviluppo
Piattaforma
Sistema Linux di
di sviluppo
partenza
Windows

Raccolta Raccolta
degli applicativi degli applicativi
Si

18
Sviluppo
Sviluppo GUI e
applicativi e Bug? bugﬁx
bugﬁx

No Test dei beta
Test dei beta
tester tester

am
Te
l ue

Cyber Intelligence
‣ Raccolta informazioni tramite fonti aperte
‣ Raccolta informazioni tramite fonti privilegiate
‣ Azioni di ingegneria sociale ed intercettazione
per raccolta informazioni extra (email, social 19
network, telefono)

‣ Correlazione delle informazioni per individuare
possibili punti deboli per l’ accesso informatico
non autorizzato
am
Te
ed

Cyber Intelligence
Risultato di una possibile raccolta informazioni

20

am
Te
ed

Intrusione Informatica
Tentativo di accesso ai sistemi informatici del target

‣ Verifica di vulnerabilità applicative su sistemi
remoti pubblici o privati (Server, Reti Wifi, ecc.)

‣ Verifica di vulnerabilità applicative o password
deboli su account privati (email, social network)
21
‣ Verifica di vulnerabilità su client del target
(smartphone, laptop, sistemi casalinghi)

‣ Ricerca mirata o acquisto di “exploit” per sfruttare
vulnerabilità su applicazioni utilizzate dal target

‣ Intrusione Te
am
ed


22

am
Te
ed


23

am
Te
ed


G
IN
CK
A D
H N
L A 24
O H
O Y
H B
SC IT
O LD DO

am
Te
ed


25

am
Te
ed


26

am
Te
ed

Mantenimento Accesso
Installazione di backdoor nella macchina compromessa

27

am
Te
ed

Forensic duplicator
fai da te...
Tableau TD1 Acer Aspire Revo

28

1200€ 250€
am
Te
l ue

Forensic duplicator
fai da te...
• Dhash - GUI e testuale, solo raw, calcolo
multi hash
• Guymager - solo GUI, raw, encase e afﬂib, 29
calcolo multi hash
• Dcﬂdd, dc3dd - solo testuale, solo raw,
calcolo multi hash
• Dd rescue - solo testuale, solo raw Te
am
l ue

IR pronto all’uso
• DEFT Extra
• Binari dei principali sistemi operativi
Windows, Linux e OS X
30
• Nigilant32 - Winaudit
• Process eXPlorer - Rootkit Revealer
• Process Activity View - CurrProcess
• Ultra search Te
am
l ue

Sistema compromesso
Cosa fare?
Non se ne accorge Formatta/Ripristina Esegue una analisi

10%
31

30%
60%

am
Te
l ue

Reazione ad un
incidente informatico

32

am
Te
l ue

Remotizzazione dei log

Log
management

33
Web server

Data base

Firewall
Windows
Server 2008 Client

am
Te
l ue

L’importanza dei log di
sistema remotizzati
• In caso di cancellazione o alterazione dei log
di sistema, si preserva una copia su un server
remoto 34

• Confronto dei log remoti con quelli locali di
ogni singolo sistema

am
Te
l ue

IR check list
Sistema in funzione
• Analisi dei log degli apparati di rete
• Dump di trafﬁco per l’individuazione di attività
malevoli in corso
35
• Individuazione dei sistemi coinvolti
• Utilizzo di tool su memoria esterna
• Memoria esterna di sola lettura
• Creazione di una time line degli eventi
• Controllo degli hash dei ﬁle di sistema
l ue
Te
am


IR check list
Sistema spento
• Analisi dei log degli apparati di rete
• Dump di trafﬁco per l’individuazione di attività
malevoli in corso
36
• Individuazione dei sistemi coinvolti
• Spegnere il sistema ed acquisirlo
• Analisi della memoria di massa in laboratorio
• Creazione di una time line degli eventi
• Controllo degli hash dei ﬁle di sistema Te
am
l ue

Controllo degli hash
dei file di interesse
Calcoliamo l’hash del file sperando di trovare
qualcuno che abbia la stessa release e verificare?
37
NO!

The National Software Reference Library (NSRL)

http://www.nsrl.nist.gov
am
Te
l ue

Sophos anti rootkit

38

am
Te
http://www.sophos.com/it-it/products/free-tools/sophos-anti-rootkit.aspx ue
l

Cyber Warfare
Ogni governo ha le proprie equipe specializzate

39

am
Te
ed

Cyber Warfare
L’organizzazione cyber militare cinese

40

am
Te
ed

Cyber Warfare

41

gno 2011
2 giu
Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici
americani.
Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe” am
Te
ed

Cyber Warfare

42

am
Te
ed

Cyber Warfare

43

23 Agosto 2011
am
Te
ed

Formazione militare
Information Warfare

44
Joint special operation university
https://jsou.socom.mil/Pages/Default.aspx
https://jsou.socom.mil/Pages/2009JSOUPublications.aspx

am
Te
l ue

Computer Forensic
Il caso Bin Laden

45

am
Te
l ue

Security e CF applicate
al genio militare

Architetture Intel e Sparc
46
Utilizzo anche di
tecnologie sperimentali

am
Te
l ue

Formazione Certiﬁcata
Cyber Intelligence Tiger OSINT Analyst

Sicurezza Offensiva Offensive Security Certiﬁed Professional

Response e Forensics Tiger Analyst Investigator
47
www.tigersecurity.it
Re
d am
Te Te
a m l ue

Conclusioni Red Team

‣ Tutti i sistemi sono Vulnerabili
‣ A problematiche “Umane” non esiste cura
(ingegneria sociale)

‣ Un colosso con soldi in prima battuta può
ottenere dalla rete tutto ciò che desidera

am
Te
ed

Conclusioni Blue Team
• Creazione di un piano di azione di IR che preveda
le azioni da intraprendere in caso di incidente

• Personalizzazione dei toolkit in base alla propria
infrastruttura
• Cristalizzazione delle evidence raccolte mediante
le pratiche migliori della Computer Forensic
• Personale dedicato per l’attività, anche in
outsourcing
am
Te
l ue

Domande? 50

October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro

Grazie per lʼattenzione.

Emanuele Gentili Stefano Fratepietro 51
e.gentili @ tigersecurity.it stefano @ periziainformatica.eu
www.tigersecurity.it www.deftlinux.net
www.backtrack-linux.org steve.deftlinux.net

Re
d am
Te Te
a m l ue

Smau Milano 2011 Stefano Fratepietro

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Mehr von SMAU

Mehr von SMAU (20)

Smau Milano 2011 Stefano Fratepietro