darknet e cyberintelligence - progettazione e realizzazione di un ambiente di cyber-intelligence: ...
DESCRIPTION
Tesi di: Lino Antonio Buono Relatore: Marco Cremonini Lavoro dedicato a tecniche avanzate di OSINT con particolare attenzione alle possibili strategie di deaninomizzazione di comunicazioni via TOR.TRANSCRIPT
Darknet e Cyber-Intelligence
Progettazione e realizzazione di un ambiente di Cyber-Intelligence:
dall’underground alle darknet
Relatore:Marco CREMONINI
Tesi di laurea di:Lino Antonio BUONO
Problema iniziale
TOR viene sempre più usato dai cyber-criminali
IP sorgente di attività illecite online nei log diviene informazione inutile
Maggiore senso di sicurezza nei cyber-criminali provoca
maggiori atti di cyber-crime
maggiori relazioni tra cyber-criminali
Ne consegue:
Necessità di nuovi strumenti per effettuare Cyber-Intelligence che siano efficaci nonostante l’uso di TOR
Soluzione Creazione dell’IntercepTOR, cioè di
un ambiente semi-automatico atto alla deanonimizzazione di utenti TOR, tramite l’analisi e conseguente intercettazione ed eventuale trojanizzazione del traffico proveniente dalla darknet TOR.
Componenti fondamentali dell’IntercepTOR:
una VM ospitante un exit-node TOR
una VM per analisi, intercettazione e trojanizzazione del traffico in uscita dall’exit-node
una VPS connessa tramite VPN Point-to-Point per
proteggere (l’identità del) l’IntercepTOR dai cyber-criminali
ottimizzare la quantità di traffico utile sfruttando la localizzazione geografica dell’exit-node
IntercepTOR
Tecniche di deanonimizzazione Considerazione
Necessario essere il più stealth possibile, quindi:
applicare ad ogni caso la tecnica meno invasiva che permetta di raggiungere l’obiettivo
Tecniche di deanonimizzazione ideate, ordinate per grado di invasività:
Passiva: Exit-node monitoring (dumb users)
Parzialmente Attiva: Exit-node monitoring + MiTM & SSLStrip Attack
Attiva: HTTP Response Trojanizer
Deanonimizzazione passiva
Considerazioni:
Traffico in uscita da exit-node è in chiaro
Confusione degli utenti tra concetti di anonimato e sicurezza
Risultato:
Utenti usano servizi autenticati tramite TOR senza utilizzare cifratura end-to-end (e.g. accesso a webmail usando protocollo HTTP)
Credenziali di accesso visibili in clear-text all’exit-node owner
Informazioni reperibili dal servizio utilizzato e da eventuale profilo personale
Deanonimizzazione parzialmente attiva
Scenario: Not-So-Dumb user
Utilizzo HTTPS per servizi autenticati sul web
Credenziali (nonchè token di sessione, ecc..) cifrati
Soluzione:
Attacchi automatici contro HTTPS
SSLStrip Attack (stealth)
MiTM Attack (visibile, utilizzato come piano B)
Deanonimizzazione attiva Scenario: servizi non autenticati
Nessuna speranza che l’utente riveli la sua identità o la sua localizzazione
Soluzione:
Trojanizzare le risposte HTTP per sfruttare una delle seguenti tecniche:
Out-of-Band HTTP request (i.e. GET/POST request via script Flash o Java)
Out-of-Band ICMP request(i.e. ICMP request via script Java oppure via client-side exploit)
Full system pownage(i.e. client-side exploit)
IntercepTOR weaponizing (NSA Surveillance?)
Massimizzare numero di exit-node gestiti
Massimizzare performance del server e banda dei nodi: l’algoritmo di routing di TOR predilige nodi veloci
(D)DoS degli altri nodi: ridurre le prestazioni degli altri nodi rende preferibili i nostri
Posizionamento strategico dei nodi: TOR predilige exit-node vicini geograficamente alle risorse web richieste
Path disruption: se TOR ci sceglie come nodi intermedi, interrompiamo la connessione
Compromissione di altri nodi
Set-up e trojanizzazione di entry-node: possedendo entry-node ed exit-node nella stessa chain, abbiamo associazione IP sorgente reale / Destinazione
Considerazioni:
necessità di cyber-criminali di comunicare sia tra loro (e.g. sharing di carte di credito) che con il resto del mondo (e.g. rivendicazione di azione di hacktivismo)
Utile quindi:
l’individuazione di fonti sul visible web da cui attingere informazioni sui target e monitoring costante delle stesse
Fonti sul visible web da monitorare individuate:
Pastebin (e siti similari)
IRC
Enhancement: Strumenti di supporto
Pastebin Motivazioni
Usato dagli hacktivist per pubblicizzare e rivendicare azioni dimostrative
Usato dai cyber-criminal per pubblicizzare carte di credito (e credenziali di accesso per e-banking, ecc) rubate da vendere
Soluzione
Sviluppo di un software in Python che
interroga ininterrottamente la sezione “/archive” alla ricerca di nuovi pastes
verifica tramite regex contenuti ritenuti interessanti
invia link e copia dei pastes interessanti via email
IRC channel
Motivazioni
Usato da detentori di botnet
Usato per sharing di carte di credito rubate
Soluzione
Creazione di un IRC-Bot con
logging automatico della chat pubblica
possibilità di monitoring simultaneo multi-canale
riconoscimento tramite regex di contenuti interessanti e storage degli stessi su DB + web application di gestione
Motivazioni
Offre qualsiasi tipo di notizia in tempo reale
Soluzione
Set-up del software gratuito Tweetdeck con viste ad-hoc
Unificando questi progetti...
Risultati ottenuti
Periodo di riferimento:
Da Settembre 2013 a Novembre 2013 = 3 mesi circa
Alcuni numeri...
Circa 9 GB di traffico TOR analizzato al giorno
Circa 3 milioni di pastes analizzati in totale
Circa 50000 carte di credito univoche
Circa 9000 password
Circa 300 attacchi di vario tipo a web application (SQL Injection, XSS, Bruteforce, ecc..)