backtrack e deftlinux_-_intelligence_security_response
DESCRIPTION
Durante l'intervento verranno illustrate alcune sfide tecnologiche in ambiente di cyberwar, un vero e proprio incontro tra il red team, cioè la taskforce specializzata nella raccolta di informazioni e nell'intrusione dei sistemi, ed il blue team, la task force specializzata nella difesa e nel contrasto proattivo di minacce digitali.Verranno mostrati alcuni strumenti utilizzati ad oggi come risorsa primaria da grandi aziende e da enti di intelligence governativi e militari della difesa, tra cui la National Security Agency, illustrando le pratiche migliori di azione e reazione in contesti di proattività e di analisi post evento.Target: responsabili della sicurezza aziendale, sistemisti, sviluppatori, forze dell'ordine e militariTRANSCRIPT
BackTrack e Deft LinuxIntelligence, Security e Response
Blue Tea
mRed Team
Emanuele Gentili Stefano Fratepietro1
sabato 30 giugno 12
2
Red Te
am
Emanuele Gentili
http://www.tigersecurity.ithttp://www.backtrack-linux.orghttp://www.exploit-db.com
Amministratore unico di Tiger Security S.r.l.
Offensive Security Certified Professional Trainer
Security and Cyber Intelligence Advisor
European Project Leader in BackTrack Linux - Penetration Test OS
http://www.emanuelegentili.euhttp://www.twitter.com/emgenthttp://it.linkedin.com/in/emanuelegentili
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
3
Stefano Fratepietro
IT security specialist per il CSE (Consorzio Servizi Bancari)
DEFT Linux – Computer Forensic live cd project leader
Consulente di Computer Forensic per procure, forze dell’ordine e grandi aziende italiane‣ Buongiorno Vitaminic! ‣ Telecom Italia -‐ Ghioni
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
mRed Team
4
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Obbiettivi Workshop‣ Dimostrare che la guerra digitale esiste e viene praticata giornalmente
‣ Dimostrare che c’e’ la necessità di proteggere le infrastrutture informatiche con personale competente e pro attivo
‣ Dimostrare che la Cina applica politiche aggressive nel cyber spazio
‣ Dimostrare che sono necessarie politiche di difesa e raccolta di informazioni
sabato 30 giugno 12
5
Red Te
am
BackTrack LinuxDistribuzione GNU/Linux Live installabile per attività di cyber intelligence e di Penetration Test.
Nasce nel 2006 come progetto indipendente
Oltre 600 tools per svolgere test di sicurezza edinvestigazione.
Rispetto delle Metodologie STANDARD internazionali PTES, OSSTMM, OWASP, OSINT.
Quasi sei milioni di download unici dalle nostre infrastrutture( 5,997,811 - 18 Ottobre 2011)
Oggi è sviluppata e gestita da due società del settore( Offensive Security e Tiger Security )
Utilizzata da agenzie di intelligence e reparti governativi della difesa.
www.backtrack-linux.orgOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
6
Red Te
am
Obbiettivi del progetto
‣ Mettere a disposizione un sistema operativo completo e funzionale, pronto all’uso, per attività di Cyber Intelligence ed Intrusione Informatica
‣ Offrire formazione certificata unica nel suo genere
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
7
Red Te
am
Feedback Pubblici
“ Se avessi avuto Back|Track Linux qualche anno fa, mi avrebbe fatto risparmiare molto tempo.”Kevin D. Mitnick
“ Back|Track è la via più veloce per andare dal boot del sistema locale all’ accesso root del sistema che vuoi attaccare ”H.D. Moore
“ Back|Track è l’ arma utilizzata dai ninja hacker. ”Johnny Long
www.nsa.gov
Cyber Defense Exercise
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
8
Red Te
am
Un po di numeri...
‣ Core Team composto da 10 persone, appartenenti a società specializzate
‣ oltre 200 contributori stimati in tutto il mondo
‣ 5 gruppi di supporto localizzati
‣ Quasi sei milioni di download (Release 5 R1)
‣ Utilizzata in pianta stabile da almeno 7 equipe specializzate all’interno di agenzie governative e militari
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
9
Red Te
am
Principali Caratteristiche
‣ Inizialmente basata su Slax poi su Ubuntu, da oltre una release e’ completamente gestita ed ottimizzata solo ed esclusivamente dal core team
‣ Utilizza un sistema di pacchettizzazione proprio ingegnerizzato appositamente, mantenendo la compatibilità al formato .deb
‣ Include software proprietario di alto livello grazie a partnership con le più importanti aziende al mondo (a costo zero per l’utente)
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
10
Red Te
am
Architettura
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
11
Red Te
am
Documentazione Pubblica
‣ Disponibile nelle lingue: inglese, italiano, spagnolo, portoghese, tedesco e francese.
‣ Documentazione mirata al framework di attacco Metasploit rilasciata pubblicamente chiedendo donazioni in sostegno al progetto Hacker For Charity.
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
12
D E F T
Acronimo di Digital Evidence & Forensic Toolkit
Nato nel 2005 in collaborazione con la cattedra del corso di Informatica Forense dell’Università
degli studi di Bologna
Dal 2007 diventa un progetto indipendente
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
13
• Fornire una serie di soluzioni multi piattaforma per la risoluzione di problematiche di Computer Forensic e Incident Response
• Non si pone come concorrente ai tool enterprise come Encase, FTK e Xway Forensic
• Documentazione
Obiettivi del progetto
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
14
Un po di numeri...
• Team composto da 6 persone, tutte italiane, di cui 3 in forza presso la GdF e la Polizia Postale
• 6 anni di esperienza maturata sul campo
• Più di 195.000 download solo nel 2010
• 1300 utenti facebook
• 650 utenti attivi nel forum
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
15
software computerforensics per Linux
+
+
+software computer
forensics per Windows
Sistema Linux live che mantiene inalterato il
contenuto delle memorie di massa del sistema ospitante
Interfaccia grafica veloceed intuitiva per sistemiWindows ideale per
l’esecuzione di attività di pre analisi
DEFT come Forensic bag
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
16
Principali caratteristiche
• Basato sul progetto Lubuntu
• 2.6.35 - usb 3 ready
• Sleuthkit 3.2 + Libewf
• Supporto per i Logic Volume Manager (LVM)
• Digital Forensic Framework
• Xplico 0.6
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
17
Documentazione
• Attualmente disponibile in lingua inglese ed italiana
• Entro la fine del 2012 anche in Spagnolo, Portoghese e Cinese
• Una serie di how-to per eseguire le principali attività informatico forensi
• Man page di tutti gli applicativi
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
18
Le fasi dello sviluppoSistema Linux di
partenza
Raccolta degli applicativi
Piattaforma di sviluppo Windows
Raccolta degli applicativi
Sviluppo applicativi e
bugfix
Test dei beta tester
Test dei beta tester
No
Si
Sviluppo GUI e bugfixBug?
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
19
Red Te
am
Cyber Intelligence
‣ Raccolta informazioni tramite fonti aperte
‣ Raccolta informazioni tramite fonti privilegiate
‣ Azioni di ingegneria sociale ed intercettazione per raccolta informazioni extra (email, social network, telefono)
‣ Correlazione delle informazioni per individuare possibili punti deboli per l’ accesso informatico non autorizzato
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
20
Red Te
am
Cyber Intelligence
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Risultato di una possibile raccolta informazioni
sabato 30 giugno 12
21
Red Te
am
Intrusione Informatica
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Tentativo di accesso ai sistemi informatici del target
‣ Verifica di vulnerabilità applicative su sistemi remoti pubblici o privati (Server, Reti Wifi, ecc.)
‣ Verifica di vulnerabilità applicative o password deboli su account privati (email, social network)
‣ Verifica di vulnerabilità su client del target (smartphone, laptop, sistemi casalinghi)
‣ Ricerca mirata o acquisto di “exploit” per sfruttare vulnerabilità su applicazioni utilizzate dal target
‣ Intrusione
sabato 30 giugno 12
22
Red Te
am
Intrusione Informatica
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Tentativo di accesso ai sistemi informatici del target
sabato 30 giugno 12
23
Red Te
am
Intrusione Informatica
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Tentativo di accesso ai sistemi informatici del target
sabato 30 giugno 12
24
Red Te
am
Intrusione Informatica
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Tentativo di accesso ai sistemi informatici del target
OLD SCHOOL HACKING
DO IT BY HAND
sabato 30 giugno 12
25
Red Te
am
Intrusione Informatica
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Tentativo di accesso ai sistemi informatici del target
sabato 30 giugno 12
26
Red Te
am
Intrusione Informatica
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Tentativo di accesso ai sistemi informatici del target
sabato 30 giugno 12
27
Red Te
am
Mantenimento Accesso
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Installazione di backdoor nella macchina compromessa
sabato 30 giugno 12
Blue Tea
m
28
Forensic duplicatorfai da te...
1200€ 250€
Tableau TD1 Acer Aspire Revo
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
29
Forensic duplicatorfai da te...
• Dhash - GUI e testuale, solo raw, calcolo multi hash
• Guymager - solo GUI, raw, encase e afflib, calcolo multi hash
• Dcfldd, dc3dd - solo testuale, solo raw, calcolo multi hash
• Dd rescue - solo testuale, solo raw
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
30
IR pronto all’uso
• DEFT Extra
• Binari dei principali sistemi operativi Windows, Linux e OS X
• Nigilant32 - Winaudit
• Process eXPlorer - Rootkit Revealer
• Process Activity View - CurrProcess
• Ultra search
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
31
Sistema compromessoCosa fare?
60%30%
10%
Non se ne accorge Formatta/Ripristina Esegue una analisi
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
32
Reazione ad un incidente informatico
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
33
Remotizzazione dei log
Windows Server 2008
Log management
Web server
Firewall
Client
Data base
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
34
L’importanza dei log di sistema remotizzati
• In caso di cancellazione o alterazione dei log di sistema, si preserva una copia su un server remoto
• Confronto dei log remoti con quelli locali di ogni singolo sistema
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
35
IR check listSistema in funzione
• Analisi dei log degli apparati di rete
• Dump di traffico per l’individuazione di attività malevoli in corso
• Individuazione dei sistemi coinvolti
• Utilizzo di tool su memoria esterna
• Memoria esterna di sola lettura
• Creazione di una time line degli eventi
• Controllo degli hash dei file di sistemaOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
36
IR check listSistema spento
• Analisi dei log degli apparati di rete
• Dump di traffico per l’individuazione di attività malevoli in corso
• Individuazione dei sistemi coinvolti
• Spegnere il sistema ed acquisirlo
• Analisi della memoria di massa in laboratorio
• Creazione di una time line degli eventi
• Controllo degli hash dei file di sistema
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
37
Controllo degli hashdei file di interesse
Calcoliamo l’hash del file sperando di trovare qualcuno che abbia la stessa release e verificare?
http://www.nsrl.nist.gov
The National Software Reference Library (NSRL)
NO!
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
38
Sophos anti rootkit
http://www.sophos.com/it-it/products/free-tools/sophos-anti-rootkit.aspxOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
39
Red Te
am
Cyber Warfare
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
Ogni governo ha le proprie equipe specializzate
sabato 30 giugno 12
40
Red Te
am
Cyber Warfare
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
L’organizzazione cyber militare cinese
sabato 30 giugno 12
41
Red Te
am
Cyber Warfare
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
L’organizzazione cyber militare cinese
Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe”
Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici americani.
2 giugno 2011
sabato 30 giugno 12
42
Red Te
am
Cyber Warfare
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
L’organizzazione cyber militare cinese
sabato 30 giugno 12
43
Red Te
am
Cyber Warfare
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
L’organizzazione cyber militare cinese
23 Agosto 2011
sabato 30 giugno 12
Blue Tea
m
44
Formazione militareInformation Warfare
Joint special operation universityhttps://jsou.socom.mil/Pages/Default.aspx
https://jsou.socom.mil/Pages/2009JSOUPublications.aspx
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
45
Computer ForensicIl caso Bin Laden
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
46
Security e CF applicate al genio militare
Architetture Intel e Sparc
Utilizzo anche di tecnologie sperimentali
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Blue Tea
m
47
Formazione Certificata
Offensive Security Certified Professional
Tiger Analyst Investigator
Tiger OSINT AnalystCyber Intelligence
Sicurezza Offensiva
Response e Forensics
www.tigersecurity.it
Red TeamOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
Conclusioni Red Team
Red Te
am
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
‣ Tutti i sistemi sono Vulnerabili
‣ A problematiche “Umane” non esiste cura (ingegneria sociale)
‣ Un colosso con soldi in prima battuta può ottenere dalla rete tutto ciò che desidera
sabato 30 giugno 12
Conclusioni Blue Team
• Creazione di un piano di azione di IR che preveda le azioni da intraprendere in caso di incidente
• Personalizzazione dei toolkit in base alla propria infrastruttura
• Cristalizzazione delle evidence raccolte mediante le pratiche migliori della Computer Forensic
• Personale dedicato per l’attività, anche in outsourcing
Blue Tea
m
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
50Domande?
October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12
51
Grazie per l’attenzione.
Stefano FratepietroEmanuele Gentili
e.gentili @ tigersecurity.itwww.tigersecurity.it
www.backtrack-linux.org
stefano @ periziainformatica.euwww.deftlinux.netsteve.deftlinux.net
Blue Tea
mRed TeamOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro
sabato 30 giugno 12