SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Milano 2011 Stefano Fratepietro
1. BackTrack e Deft Linux
Intelligence, Security e Response
1
Emanuele Gentili Stefano Fratepietro
Re
d am
Te Te
a m l ue
B
lunedì 7 novembre 2011 1
2. Emanuele Gentili
Amministratore unico di Tiger Security S.r.l.
Offensive Security Certified Professional Trainer
Security Advisor per agenzie governative di intelligence e servizi 2
European Project Leader in BackTrack Linux - Penetration Test OS
http://www.emanuelegentili.eu http://www.tigersecurity.it
http://www.twitter.com/emgent http://www.backtrack-linux.org
http://it.linkedin.com/in/emanuelegentili http://www.exploit-db.com
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 2
3. Stefano Fratepietro
IT security specialist per il CSE (Consorzio Servizi Bancari)
DEFT Linux – Computer Forensic live cd project leader 3
Consulente di Computer Forensic per procure, forze
dellʼordine e grandi aziende italiane
‣ Buongiorno Vitaminic!
‣ Telecom Italia - Ghioni
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 3
4. Obbiettivi Workshop
‣ Dimostrare che la guerra digitale esiste e viene
praticata giornalmente
‣ Dimostrare che c’e’ la necessità di proteggere le
infrastrutture informatiche con personale
competente e pro attivo
4
‣ Dimostrare che la Cina applica politiche
aggressive nel cyber spazio
‣ Dimostrare che sono necessarie politiche di
Re
difesa e raccolta di informazioni
d am
Te Te
a m l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 4
5. BackTrack Linux
Distribuzione GNU/Linux Live installabile per
attività di cyber intelligence e di Penetration Test.
Nasce nel 2006 come progetto indipendente
Oltre 600 tools per svolgere test di sicurezza ed
investigazione.
Rispetto delle Metodologie STANDARD internazionali PTES,
OSSTMM, OWASP, OSINT.
Quasi sei milioni di download unici dalle nostre infrastrutture
( 5,997,811 - 18 Ottobre 2011)
5
Oggi è sviluppata e gestita da due società del settore
( Offensive Security e Tiger Security )
Utilizzata da agenzie di intelligence e reparti governativi della
difesa.
www.backtrack-linux.org am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 5
6. Obbiettivi del progetto
‣ Mettere a disposizione un sistema
operativo completo e funzionale, pronto
all’uso, per attività di Cyber Intelligence ed
Intrusione Informatica 6
‣ Offrire formazione certificata unica nel suo
genere
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 6
7. Feedback Pubblici
Cyber Defense Exercise “ Se avessi avuto Back|Track Linux qualche
anno fa, mi avrebbe fatto risparmiare molto
tempo.”
Kevin D. Mitnick
“ Back|Track è la via più veloce per andare dal
boot del sistema locale all’ accesso root del
sistema che vuoi attaccare ”
7
H.D. Moore
“ Back|Track è l’ arma utilizzata dai ninja
hacker. ”
Johnny Long
www.nsa.gov
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 7
8. Un po di numeri...
‣ Core Team composto da 10 persone,
appartenenti a società specializzate
‣ oltre 200 contributori stimati in tutto il mondo
‣ 5 gruppi di supporto localizzati 8
‣ Quasi sei milioni di download (Release 5 R1)
‣ Utilizzata in pianta stabile da almeno 7 equipe
specializzate all’interno di agenzie governative
e militari
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 8
9. Principali Caratteristiche
‣ Inizialmente basata su Slax poi su Ubuntu, da
oltre una release e’ completamente gestita ed
ottimizzata solo ed esclusivamente dal core
team
9
‣ Utilizza un sistema di pacchettizzazione proprio
ingegnerizzato appositamente, mantenendo la
compatibilità al formato .deb
‣ Include software proprietario di alto livello
grazie a partnership con le più importanti
am
aziende al mondo (a costo zero per l’utente) Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 9
10. Architettura
10
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 10
11. Documentazione Pubblica
‣ Disponibile nelle lingue: inglese, italiano,
spagnolo, portoghese, tedesco e francese.
‣ Documentazione mirata al framework di 11
attacco Metasploit rilasciata pubblicamente
chiedendo donazioni in sostegno al progetto
Hacker For Charity.
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 11
12. D E FT
Acronimo di Digital Evidence & Forensic Toolkit
Nato nel 2005 in collaborazione con la cattedra
del corso di Informatica Forense dell’Università 12
degli studi di Bologna
Dal 2007 diventa un progetto indipendente
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 12
13. Obiettivi del progetto
• Fornire una serie di soluzioni multi
piattaforma per la risoluzione di
problematiche di Computer Forensic e
Incident Response 13
• Non si pone come concorrente ai tool
enterprise come Encase, FTK e Xway Forensic
• Documentazione
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 13
14. Un po di numeri...
• Team composto da 6 persone, tutte italiane,
di cui 3 in forza presso la GdF e la Polizia
Postale
14
• 6 anni di esperienza maturata sul campo
• Più di 195.000 download solo nel 2010
• 1300 utenti facebook
• 650 utenti attivi nel forum Te
am
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 14
15. DEFT come
Forensic bag
Sistema Linux live che
mantiene inalterato il
contenuto delle memorie di
massa del sistema ospitante
15
+
software computer
forensics per Linux
Interfaccia grafica veloce
+ ed intuitiva per sistemi
Windows ideale per
l’esecuzione di attività di
+ pre analisi
software computer
forensics per Windows am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 15
16. Principali
caratteristiche
• Basato sul progetto Lubuntu
• 2.6.35 - usb 3 ready
• Sleuthkit 3.2 + Libewf 16
• Supporto per i Logic Volume Manager (LVM)
• Digital Forensic Framework
• Xplico 0.6
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 16
17. Documentazione
• Attualmente disponibile in lingua inglese ed
italiana
• Entro la fine del 2012 anche in Spagnolo,
Portoghese e Cinese
17
• Una serie di how-to per eseguire le principali
attività informatico forensi
• Man page di tutti gli applicativi
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 17
18. Le fasi dello sviluppo
Piattaforma
Sistema Linux di
di sviluppo
partenza
Windows
Raccolta Raccolta
degli applicativi degli applicativi
Si
18
Sviluppo
Sviluppo GUI e
applicativi e Bug? bugfix
bugfix
No Test dei beta
Test dei beta
tester tester
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 18
19. Cyber Intelligence
‣ Raccolta informazioni tramite fonti aperte
‣ Raccolta informazioni tramite fonti privilegiate
‣ Azioni di ingegneria sociale ed intercettazione
per raccolta informazioni extra (email, social 19
network, telefono)
‣ Correlazione delle informazioni per individuare
possibili punti deboli per l’ accesso informatico
non autorizzato
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 19
20. Cyber Intelligence
Risultato di una possibile raccolta informazioni
20
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 20
21. Intrusione Informatica
Tentativo di accesso ai sistemi informatici del target
‣ Verifica di vulnerabilità applicative su sistemi
remoti pubblici o privati (Server, Reti Wifi, ecc.)
‣ Verifica di vulnerabilità applicative o password
deboli su account privati (email, social network)
21
‣ Verifica di vulnerabilità su client del target
(smartphone, laptop, sistemi casalinghi)
‣ Ricerca mirata o acquisto di “exploit” per sfruttare
vulnerabilità su applicazioni utilizzate dal target
‣ Intrusione Te
am
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 21
22. Intrusione Informatica
Tentativo di accesso ai sistemi informatici del target
22
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 22
23. Intrusione Informatica
Tentativo di accesso ai sistemi informatici del target
23
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 23
24. Intrusione Informatica
Tentativo di accesso ai sistemi informatici del target
G
IN
CK
A D
H N
L A 24
O H
O Y
H B
SC IT
O LD DO
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 24
25. Intrusione Informatica
Tentativo di accesso ai sistemi informatici del target
25
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 25
26. Intrusione Informatica
Tentativo di accesso ai sistemi informatici del target
26
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 26
27. Mantenimento Accesso
Installazione di backdoor nella macchina compromessa
27
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 27
28. Forensic duplicator
fai da te...
Tableau TD1 Acer Aspire Revo
28
1200€ 250€
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 28
29. Forensic duplicator
fai da te...
• Dhash - GUI e testuale, solo raw, calcolo
multi hash
• Guymager - solo GUI, raw, encase e afflib, 29
calcolo multi hash
• Dcfldd, dc3dd - solo testuale, solo raw,
calcolo multi hash
• Dd rescue - solo testuale, solo raw Te
am
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 29
30. IR pronto all’uso
• DEFT Extra
• Binari dei principali sistemi operativi
Windows, Linux e OS X
30
• Nigilant32 - Winaudit
• Process eXPlorer - Rootkit Revealer
• Process Activity View - CurrProcess
• Ultra search Te
am
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 30
31. Sistema compromesso
Cosa fare?
Non se ne accorge Formatta/Ripristina Esegue una analisi
10%
31
30%
60%
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 31
32. Reazione ad un
incidente informatico
32
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 32
33. Remotizzazione dei log
Log
management
33
Web server
Data base
Firewall
Windows
Server 2008 Client
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 33
34. L’importanza dei log di
sistema remotizzati
• In caso di cancellazione o alterazione dei log
di sistema, si preserva una copia su un server
remoto 34
• Confronto dei log remoti con quelli locali di
ogni singolo sistema
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 34
35. IR check list
Sistema in funzione
• Analisi dei log degli apparati di rete
• Dump di traffico per l’individuazione di attività
malevoli in corso
35
• Individuazione dei sistemi coinvolti
• Utilizzo di tool su memoria esterna
• Memoria esterna di sola lettura
• Creazione di una time line degli eventi
• Controllo degli hash dei file di sistema
l ue
Te
am
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 35
36. IR check list
Sistema spento
• Analisi dei log degli apparati di rete
• Dump di traffico per l’individuazione di attività
malevoli in corso
36
• Individuazione dei sistemi coinvolti
• Spegnere il sistema ed acquisirlo
• Analisi della memoria di massa in laboratorio
• Creazione di una time line degli eventi
• Controllo degli hash dei file di sistema Te
am
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 36
37. Controllo degli hash
dei file di interesse
Calcoliamo l’hash del file sperando di trovare
qualcuno che abbia la stessa release e verificare?
37
NO!
The National Software Reference Library (NSRL)
http://www.nsrl.nist.gov
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 37
38. Sophos anti rootkit
38
am
Te
http://www.sophos.com/it-it/products/free-tools/sophos-anti-rootkit.aspx ue
l
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 38
39. Cyber Warfare
Ogni governo ha le proprie equipe specializzate
39
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 39
40. Cyber Warfare
L’organizzazione cyber militare cinese
40
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 40
41. Cyber Warfare
L’organizzazione cyber militare cinese
41
gno 2011
2 giu
Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici
americani.
Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe” am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 41
42. Cyber Warfare
L’organizzazione cyber militare cinese
42
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 42
43. Cyber Warfare
L’organizzazione cyber militare cinese
43
23 Agosto 2011
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 43
44. Formazione militare
Information Warfare
44
Joint special operation university
https://jsou.socom.mil/Pages/Default.aspx
https://jsou.socom.mil/Pages/2009JSOUPublications.aspx
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 44
45. Computer Forensic
Il caso Bin Laden
45
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 45
46. Security e CF applicate
al genio militare
Architetture Intel e Sparc
46
Utilizzo anche di
tecnologie sperimentali
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 46
47. Formazione Certificata
Cyber Intelligence Tiger OSINT Analyst
Sicurezza Offensiva Offensive Security Certified Professional
Response e Forensics Tiger Analyst Investigator
47
www.tigersecurity.it
Re
d am
Te Te
a m l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 47
48. Conclusioni Red Team
‣ Tutti i sistemi sono Vulnerabili
‣ A problematiche “Umane” non esiste cura
(ingegneria sociale)
‣ Un colosso con soldi in prima battuta può
ottenere dalla rete tutto ciò che desidera
am
Te
ed
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro R
lunedì 7 novembre 2011 48
49. Conclusioni Blue Team
• Creazione di un piano di azione di IR che preveda
le azioni da intraprendere in caso di incidente
• Personalizzazione dei toolkit in base alla propria
infrastruttura
• Cristalizzazione delle evidence raccolte mediante
le pratiche migliori della Computer Forensic
• Personale dedicato per l’attività, anche in
outsourcing
am
Te
l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 49
50. Domande? 50
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
lunedì 7 novembre 2011 50
51. Grazie per lʼattenzione.
Emanuele Gentili Stefano Fratepietro 51
e.gentili @ tigersecurity.it stefano @ periziainformatica.eu
www.tigersecurity.it www.deftlinux.net
www.backtrack-linux.org steve.deftlinux.net
Re
d am
Te Te
a m l ue
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro B
lunedì 7 novembre 2011 51