Download - CyberWar e CyberTerr
STRICTLY CONFIDENTIAL
http://thefool.it
CYBER WARFARE & CYBER-GUERRILLAdal terrorismo digitale alla guerriglia digitale
http://thefool.it
The Fool srl è una startup tecnologica nata nel 2008
dall’incontro tra un esperto di sicurezza e da un
investor ex-industriale. Ci occupiamo di creazione di
soluzioni ad alto valore tecnologico per il Controllo
della Rete, della Brand Reputation e per la Tutela
della Proprietà Intellettuale con prodotti e software
di proprietà.
L’intento di The Fool è quello di fornire insight e
strategie non convenzionali nella gestione delle
crisi e nella definizione di piani di crisi o di online
strategic planing.
CHI SIAMO
http://thefool.it
PERCHE’ STUXNET
"a working and fearsome prototype of a cyber-
weapon that will lead to the creation of a new arms
race in the world." (Kaspersky Labs)
“60% of the infected computers worldwide were in
Iran, suggesting its industrial plants were the
target.” (Kevin Hogan, Senior Director of Security
Response at Symantec)
“the attacks could only have been conducted "with
nation-state support"” ((Kaspersky Labs)
http://thefool.it
PERCHE’ PAYBACK
"is a coordinated, decentralized group of attacks on
opponents of internet p i racy by internet
activists." (Wikipedia)
“Operation Avenge Assange … aimed at the Swiss
bank PostFinance was very successful, and has
k e p t t h e s i t e d o w n f o r s o m e 2 4
hours” (ComputerWorld)
“Unlike botnets in the past (which take advantage of
holes in operating systems to install the bot
s o f t w a r e ) t h i s b o t n e t i s m a d e u p o f
volunteers.” (Wired)
http://thefool.it
WINDOWS
Le modalità di installazione sono le più sofisticate
mai rilevate in un worm:
• Utilizza 4 zero-day
• Si installa tramite USB: Microsoft Windows
Shortcut 'LNK/PIF' Files Automatic File
Execution Vulnerability (BID 41732)
• Si diffonde tramite: Microsoft Windows Server
Service RPC Handl ing Remote Code
Execut ion Vulnerabi l i ty (BID 31874) di
Conficker
• ...e con: Microsoft Windows Print Spooler
Service Remote Code Execution Vulnerability
(BID 43073) non patchato
• ...e con tramite network shares protette con
password deboli
• ...e con 2 zero-day di Privilege Escalation
http://thefool.it
WINDOWS
Le azioni compiute sono estremamente rilevanti:
• Installazione di un RootKit
• kernel32.dll APIs per cloak
• Abbassamento dei livelli di sicurezza
• Injecting di contenuti in Internet Explorer
per Proxy ByPass
• Kill dei processi security-related:
• vp.exe, Mcshield.exe, avguard.exe,
bdagent.exe, UmxCfg.exe, fsdfwd.exe,
rtvscan.exe, ccSvcHst.exe, ekrn.exe,
tmpproxy.exe
http://thefool.it
WINDOWS
Pesantissima attività di rete e di C&C:
• Gestione del C&C
• Gestione RPC con C&C
• Read a file, Write to a file, Delete a file, Create
a process, Inject a .dll into lsass.exe, Load an
additional .dll, update the configuration data
• Gestione dell’invio di dati a domini esterni
• www.mypremierfutbol.com
• www.todaysfutbol.com
http://thefool.it
STEP 7
Incredibile e mai vista l’attività con Step7:
• Intercettazione Siemens WinCC/PCS 7 SCADA
• Furti di codice e progetti/design tramite rete
• GracS\cc_tag.sav, GracS\cc_alg.sav, GracS
\db_log.sav, GracS\cc_tlg7.sav, *.S7P, *.MCP,
*.LDF
• Attacco MITM
http://thefool.it
PLC
Quasi Fantscienza l’attività su PLC:
• Il primo rootkit persistente PLC
• Attacco sistemi Siemens S7-300 e s7-400
• Attacco di sole alcune schede di variable-
frequency drives:
• Vacon Finlandese e Fararo Paya Iraniana
• Si attiva solo a frequenze tra 807Hz e 1210!Hz
• Controlla il numero di schede installate e inietta
una versione differente a seconda del numero
rilevate
http://thefool.it
COSA FA?
Ancora Ignoto:
• Stuxnet installa malware nel block DB890
• Il sistema controlla il Profibus messaging bu
• Modifica la frequenza a 1410!Hz, poi 2!Hz poi
1064!Hz
• Altera le velocità dei motori. Oppure la velocità
segnalata.
• Installa un rootkit che nasconde il codice
(0day)
http://thefool.it
OPERATION PAYBACK
Operation Payback LOICWikileaks != Anonymous
http://thefool.it
WIKILEAKS != ANONYMOUS
“In a free society, we are supposed to know the
truth. In a society where truth becomes
treason, we are in big trouble.” (Ron Paul)
http://thefool.it
http://thefool.it
ANONYMOUS
Un sistema di attacco di anarchia organizzata:
• Prankster
• Mobster
• Avenger
• ...DDOS
http://thefool.it
ANONYMOUS ARTIFACTS
Un sistema di attacco di anarchia organizzata:
• Aiplex Software & MPAA
• DDOS: MPAA e IFIPI (30h)
• DDOS: ACS:Law, Davenport Lyons and Dunlap,
Grubb & Weaver
• DDOS: Australian Federation Against Copyright
Theft (AFACT) (e altri 8.000 siti)
• Evacuazione ACS:Law
• DDOS: Ministry of Sound e Gallant Macmillian
(590h)
• Copyprotected.com SQL injected
• DDOS: UK Intellectual Property Office
• ACS:Law leak 350MB (nomi, mail, dati)
• D D O S : S i m m o n s R e c o r d s . c o m e
GeneSimmons.com (50h + 120h)
• DDOS: riaa.com and riaa.org (240h)
• Sarah Palin mail forzata
http://thefool.it
ANONYMOUS ARTIFACTS
Operazione Avenge Assange:
• DDOS: Amazon.com
• DDOS: PayPal.com + API
• DDOS: Mastercard.com + API
• DDOS: PostFinance.ch
• DDOS: Swedish Prosecution Authority
• DDOS: sarahpac.com
• DDOS:www.conservatives4palin.com
Ed in Italia?
• DDOS: Poste Italiane
• DDOS: Governo.it
• DDOS: Mediaset.it
http://thefool.it
ANONYMOUS ANARCHY
Un sistema di attacco di anarchia organizzata:
• Coordinamento e Arrualomento tramite Boards
• Coordinamento tramite IRC
• Hive Mind
• Voluntary BOTNET
http://thefool.it
WIKILEAKS & ANONYMOUS
Obiettivo
Hive Mind
Tipologia di Attacco
http://thefool.it
E QUINDI?
I pericoli sono per tutti: persone fisiche,
personal i tà d i sp icco, PMI , pubbl iche
amministrazioni,
• Ricercare informazioni su sè stessi
• Ricercare informazioni su competitor
• Ricercare informazioni su minacce
• Preventivare e conoscere i rischi
• Creare piani di risposta
• Cercare soluzioni alternative
• GNOSE TE IPSUM
http://thefool.it
LINKOGRAFIA
Stuxnet
• http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2
• http://www.virusbtn.com/pdf/conference_slides/2010/OMurchu-VB2010.pdf
• http://threatpost.com/en_us/blogs/data-shows-iran-no-longer-stuxnet-hotspot-100510
• http://www.wired.com/threatlevel/2010/11/stuxnet-sabotage-centrifuges/
• http://www.humanevents.com/article.php?id=39452
• http://www.schneier.com/blog/archives/2010/10/stuxnet.html
• http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
• http://cyberarms.wordpress.com/2010/10/01/stuxnet-just-another-malware-or-targeted-cyberweapon/
• http://www.bug.hr/vijesti/stuxnet-sabotira-iranace/105078.aspx
• http://en.wikipedia.org/wiki/Stuxnet
Anonymous
• http://4chan.org/b
• http://encyclopediadramatica.com/LOIC
• http://sourceforge.net/projects/loic/
• http://www.mediafire.com/?9rfblvej3ycd8dt
• http://encyclopediadramatica.com/Anonymous
http://thefool.it
NON SOLO CONFERENZE
Controllo della
navigazione aziendale e
profilazione dell’Utenza
Controllo della Proprietà
intellettuale e sistemi di
TakedDown & Notice
Reputation Watching
online sul proprio Brand
www.TheFool.it
STRICTLY CONFIDENTIAL
C.so Magenta, 4320123 Milano (MI)
http://thefool.it
mf @ thefool . it+39.02.00618826