Smau Bologna 2011 Emanuele Gentili - Stefano Fratepietro

COME LE PMI FAVORISCONO LA CYBERWARFARE: BOTNET E SOCIAL NETWORK ALLA PORTATA DI TUTTI

Stefano Fratepietro - Emanuele Gentili

1

venerdì 10 giugno 2011

Come le PMI favoriscono la Cyberwarfare: botnet e social network alla portata di tutti.Stefano Fratepietro - Emanuele Gentili

2

Obiettivi del WorkShop

A) Dimostrare che esiste una eterna lotta tra gli sviluppatori software e la natura umana

B) Dimostrare che la natura al momento sta vincendo

C) Dimostrare che l’utonto e’ il peggior virus informatico creato sino ad oggi.



3

Stefano Fratepietro

IT security specialist per il CSE (Consorzio Servizi Bancari)

DEFT Linux – Computer Forensic live cd project leader

Consulente di Computer Forensic per procure, forze dellʼordine e grandi aziende italiane‣Buongiorno Vitaminic! ‣Telecom Italia -‐ Ghioni



4

Emanuele Gentili

http://www.tigersecurity.ithttp://www.backtrack-linux.orghttp://www.exploit-db.com

http://it.linkedin.com/in/emanuelegentilihttp://www.twitter.com/emgent

Amministratore delegato di Tiger Security S.r.l.

Offensive Security Certified Professional Trainer

Security Advisor per enti governativi di intelligence e servizi segreti

Project Leader in BackTrack Linux - Penetration Test distribution


http://www.tigersecurity.it


http://www.backtrack-linux.org


http://www.exploit-db.com

http://www.exploit-db.com

http://it.linkedin.com/in/emanuelegentili





5

Crackdown Playstation Network

20 aprile 2011 Playstation Network viene messo volutamente down dall’aziendaVengono concretizzati i sospetti di una violazione dei sistemi che erogano il servizio…

…tali sospetti si concretizzano con la certezza dell’avvenuto furto di innumerevoli documenti ad uso interno e di dati dei 77 milioni di utenti utilizzatori del network…

…comprese le carte di credito tenute in chiaro nei propri database



6




7




8

Crackdown HBGary Federal

‣ Azienda made in USA di sicurezza informatica ed intelligence

‣ Principale fruitore dei servizi di HBGary è il governo USA



9


‣ CMS proprietario vulnerabile ad una SQL injectionwww.hbgaryfederal.com, a=ualmente down

‣ Dump di user e password, conservati non in chiaro ma con algoritmi di hash. Hash della password contenuto in una raimbowtable

‣ delle utenze aveva accesso in ssh al web serverIl demone ssh era vulnerabile e si è potuto eseguire un privilege esclaCon per o=enere root


http://www.hbgaryfederal.com

http://www.hbgaryfederal.com


10


‣ Con la privilege esclation saltano fuori altre credenziali e password, comprese quelle del CEOLe password sono risultate di sei cara=eri

‣ La stesse credenziali erano usate per i profili Linkedin, Twitter e Google AppsIl sistema di posta di HBGary è tu=o su Google mail

‣ Procedura di recovery password per la casella di posta di Aaron Barr e Greg Hoglund e via….



11




12

Botnet lʼAnatomia

Una botnet è una rete di computer collegati ad Internet che fanno parte di un insieme di computer controllato da un'unica entità, il botmaster.

Che cosa è una Botnet?

Desktop, Laptop, Netbook, Server, Smartphone, Palmari, Tablet, Router, Firewall .... WHAT ELSE? :-)

Che tipi di sistemi possono essere parte di una Botnet?



13

Botnet: lʼAnatomia‣ Botnet che attaccano Personal ComputerRequisiti: Macchine che ospitano dati personali.Utilizzo: Furto di credenziali, attacchi di tipo ddos.

‣ Botnet che attaccano Palmari, Tablet, SmartphoneRequisiti: Macchine che ospitano dati strettamente personali e familiari.Utilizzo: Furto di credenziali ed informazioni personali e familiari, attacchi di tipo ddos.

‣ Botnet che attaccano ServerRequisiti: Macchine che ospitano servizi web dinamici, forum o soluzioni web based enterprise.Utilizzo: Attacchi di tipo Ddos, Warez share, Phishing, Spam, server ponte per altri attacchi.

‣ Botnet che attaccano RouterRequisiti: Router Linux based.Utilizzo: Furto di credenziali, attacchi di tipo ddos.



14

Botnet Client dalla nascita allʼevoluzione



15




16




17

Botnet Mobile dalla nascita allʼevoluzione

Schema Rappresentativo botnet server anni 2008-2011



18

Botnet Server dalla nascita allʼevoluzione

Schema Rappresentativo botnet server anni 2002-2011 - Artix, AlpHaNiX



19

Botnet Router dalla nascita allʼevoluzione

Schema Rappresentativo botnet server anni 2009-2011 - Chuck Norris

bot 1bot 2

bot 3



20

Riproduzione delle botnet

PC Mobile Server Routers

Vulnerabilità Sistema Operativo(Microsoft Windows)

Applicazioni Malevole sugli Store Vulnerabilità di tipo web(sqli, rce, lfi, rfi)

Credenziali di Default

Vulnerabilità Applicative(Adobe Flash, Microsoft Office, Adobe Reader, Real VNC, ecc..)

Passwords di Default su Servizi(OpenSSH, foo, bar)

Password deboli(Open SSH, MySQL, MSSQL)

Password Deboli(telnet, ssh, webpanel)

Vulnerabilità su Browser( Internet Explorer, Mozilla Firefox, Google Chrome)

Navigazione siti hard e warez



21

Riproduzione delle botnet



22

Cosa troviamo oggi nel Black Market?

... come al mercato del pesce.Noi: A quanto sta il merluzzo ?

Black Hat: 9 euro al kg.

Noi: A quanto invece le carte di credito Visa Gold?

Black Hat: 3 euro l’ una.

Ma noi abbiamo osato di più ....



23

SpyEye Command e Control (Ultima generazione)



24

SpyEye Generatore Trojan (Ultima generazione)



25Al solo costo di....

700 $

Spy Eye Toolkit



26

Hacking for dummyesAccesso ad AP Alice e Fastweb

App che permette di generare le chiavi wep e wpa di default di alcuni router wi-fi

‣ SpeedTouch, Thomson, Orange, DMax, BBox, Infinitum, Otenet, Cyta, Dlink

‣ Alice e Fastweb

Penetrare: http://underdev.org/penetrate/Wpa tester: http://www.megaupload.com/?d=7H8QI4YO


http://underdev.org/penetrate/

http://underdev.org/penetrate/

http://www.megaupload.com/?d=7H8QI4YO

http://www.megaupload.com/?d=7H8QI4YO


27




28




29

Hacking for dummyesARP poisoning

‣ Tecnica di attacco che consente ad un attacker, in una lan, di concretizzare un attacco di tipo man in the middle verso tutti gli host che si trovano nello stesso segmento di rete

‣ Scopo di questo tipo di attacco è quello di redirigere, in una rete commutata, i pacchetti destinati ad un host verso un altro al fine di leggere il contenuto di questi per catturare le password che in alcuni protocolli viaggiano in chiaro

‣ Consiste nell'inviare intenzionalmente risposte ARP contenenti dati alterati in modo tale da alterare la tabella ARP (ARP entry cache) di un host

Software usato: Ettercap NG



30

Hacking for dummyesARP poisoning



31

Hacking for dummyesAccesso agli host della rete

Attività di monitoraggio delle attività degli host della rete violata

‣ Individuazione delle vulnerabilità degli host collegaC alla rete wifi

‣ Sniffing del traffico generato dagli host della rete al fine di carpire informazioni del Cpo➡ Posta ele=ronica➡ Social network



32

Anche Mia Nonna saprebbe crackare una rete Wireless

Tratto da una storia vera...



33

Anche mia nonna saprebbe crackare una rete Wireless

Gerix Wifi Cracker NG



34




35




36

Botnet alla portata di tutti

Rete di computer infettati da un tipo di malware che permette ad un attaccante di controllare a distanza le macchine infette.

Principale utilizzo:‣ Invio di spam‣ Attacchi informatici di tipo DDOS‣ Attività di scansione per ampliamento della botnet‣ Phishing



37

Botnet alla portata di tutti



38

Botnet alla portata di tutticasi recenti noti

‣ www.governo.it, andato a buon fine‣ www.senato.it, andato a buon fine‣ www.giustizia.it, andato a buon fine‣ www.enel.it, andato a buon fine‣ www.finmeccanica.it, sito temporaneamente irraggiungibile

con redirect su 127.0.0.1‣ www.mediaset.it, andato a buon fine‣ www.unicreditbanca.it, non andato a buon fine


http://www.governo.it

http://www.governo.it

http://www.senato.it

http://www.senato.it

http://www.giustizia.it

http://www.giustizia.it

http://www.enel.it

http://www.enel.it

http://www.finmeccanica.it

http://www.finmeccanica.it

http://www.mediaset.it

http://www.mediaset.it

http://www.unicreditbanca.it

http://www.unicreditbanca.it


39

Il Caso Poste Italiane



40

Attacchi Client Sidenella mia botnet con un click



41

Attacchi Client Sidenella mia botnet con un click

Un attacco viene definito client side, quando il focus dell’operazione è orientato verso le applicazioni di uso comune della vittima.

Esempio:

‣ Browser di Navigazione Internet

‣ Client di Posta Elettronica

‣ Software di messaggistica Instantanea

‣ . . .



42

Attacchi Client SideVettori di Attacco

Twitter

FacebookLinkedin

Ingegneria sociale

MySpace

ForumMessenger



43

Attacchi Client Side

Javascript - Botnet



44


Buffer OverflowUn utente, visitando semplicemente una pagina web, potrebbe consegnare nelle mani dell’attaccante il proprio pc e tutti i dati che risiedono all’interno.



45

Sistemi Vulnerabili ad Attacchi Client Side

25%

25%25%

25%

Microsoft Windows GNU Linux MAC OSX BSD



46


Attacchi di tipo mirato alla persona.



47

Cyberwarfare .. qualcuno trama nellʼombra

2 giugno 2011 Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe”



48

Attacchi tramite social networkConsensi elettorali

Link esca dal titolo “Peggio attaccante vs peggior portiere del mondo LOL”…

… che puntava ad un java script che incrementava le iscrizioni alla pagina del candidato sindaco Letizia Moratti

Pagina rimossa il 25 maggio



49

Attacchi tramite social networkConsensi elettorali

Il nome di chi detiene il dominio (Fatti fantastici.info) è coperto da una società che nasconde l'identità del registrant sotto il più rigoroso anonimato, Domains by proxy, con sede in Arizona.



50

ConclusioniAl giorno dʼoggi chi espone sistemi vulnerabili sulla rete Internet non ha

scusanze

La sicurezza è un PROCESSO e non un prodotto.

Puoi spendere 1.000.000 € in hardware per la security ma se non hai persone competenti che le amministrano non serve a nulla

Le security policy vanno rispettate senza alcuna eccezione, nemmeno per lʼAD

La più grande vulnerabilità informatica mai corretta è lʼutente



51Domande ?



52

Grazie per lʼattenzione.Stefano Fratepietro Emanuele Gentili

e.gentili @ tigersecurity.itwww.tigersecurity.it

www.backtrack-linux.org

stefano @ periziainformatica.euwww.deftlinux.netsteve.deftlinux.net






http://www.deftlinux.net

http://www.deftlinux.net

http://steve.deftlinux.net

http://steve.deftlinux.net

Date post:	01-Nov-2014
Category:	Technology
Upload:	smau
View:	1,247 times
Download:	2 times

Smau Bologna 2011 Emanuele Gentili - Stefano Fratepietro

Technology