infrastrutture critiche e cyber warfare · crescente rischio di “blackswans” (hilp) ... questo...
TRANSCRIPT
Cyber Security Forum 2013 - SapienzaCyber Security Forum 2013 - Sapienza
Dalla sicurezza delle infrastrutture critiche alla Information Warfare
Raoul Chiesa - Security Brokers, Inc. 1 / 124Roma 17 giugno 2013©Security Brokers SCpA
→Perché siamo qui?
� 2012: + 250% di cyber attacchi gravi nel mondo
� Moltiplicazione degli attori e delle capacità offensive
� Tutti sono bersagli (privati, aziende, istituzioni)
� Tutte le piattaforme sono bersagli
� Le difese tradizionali non funzionano più
� Violazione di target prima impensabili
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 2 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni
� Violazione di target prima impensabili
� Il ROI per gli attaccanti è elevatissimo
� Il rischio per gli attaccanti è bassissimo
� Crescente rischio di “Black Swans” (HILP)
� Carenza di leggi e norme ad hoc
� Necessità di gestire rischi ed incidenti (in real time)
� Necessità di adeguare il sistema Paese ai nuovi scenari
Roma 17 giugno 2013
→Chi siamo
Raoul Chiesa
� Founder, President, Security Brokers
� Principal, CyberDefcon UK
� Senior Advisor on Cybercrime presso l’UNICRI (United Nations
Interregional Crime & Justice Research Institute), 2004-oggi
� Membro del PSG, ENISA (Permanent Stakeholders Group, European
Network & Information Security Agency) 2012-2015
Coordinatore e Membro del GdL «Cyberworld» presso OSN/Ce.Mi.S.S.
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 3 / 124
� Coordinatore e Membro del GdL «Cyberworld» presso OSN/Ce.Mi.S.S.
� Socio Fondatore, Membro del Comitato Direttivo e del Comitato Tecnico-
Scientifico del CLUSIT, 2000-oggi
� Comitato Direttivo AIP/OPSI, Osservatorio Privacy e Sicurezza
� Board of Directors, ISECOM, 2000-oggi
� Board of Directors, OWASP Italian Chapter 2007-oggi
� Socio Fondatore, @ Mediaservice.net, 1997
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→Chi siamo
Andrea Zapparoli Manzoni
� Founder, General Manager, Security Brokers
� Founder, CEO, iDIALOGHI
� Membro del GdL «Cyberworld» presso OSN/Ce.Mi.S.S.
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 4 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni
� Membro CD APASS / resp. Information Warfare
� Membro CD Assintel / Coordinatore GdL ICT Security
� Membro CD e Docente Clusit (SCADA, Social Media Sec,
Antifrode, DLP…)
� Co-autore Rapporto Clusit 2012 e 2013
Roma 17 giugno 2013
→Chi siamo
Stefano Mele
� Avvocato specializzato in ICT Law, Privacy, Sicurezza ed Intelligence presso Carnelutti
Studio Legale Associato
� Dottore di ricerca presso l’Università degli Studi di Foggia
� Collabora presso le cattedre di Informatica Giuridica e Informatica Giuridica avanzata
della Facoltà di Giurisprudenza dell’Università degli Studi di Milano
� Consulente per organizzazioni nazionali ed estere sui temi della cyber-security, cyber-
terrorism e cyber-warfare
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 5 / 124
terrorism e cyber-warfare
� Direttore di Ricerca su “Cyber-security & Cyber-Intelligence” del Ce.Mi.S.S. (Centro
Militare di Studi Strategici)
� Responsabile del sottogruppo “Diritto interno e comparato” del tavolo “CyberWorld”
presso l’OSN (Osservatorio per la Sicurezza Nazionale) del Ce.Mi.S.S.
� Docente presso gli Istituti di formazione e di ricerca del Ministero della Difesa
� Docente di “Intelligence e utilizzo delle informazioni per la gestione della sicurezza nei
Paesi a rischio” presso il Peace Operations Training Institute (POTI-UN)
� Coordinatore dell’Osservatorio “InfoWarfare e Tecnologie emergenti” dell'Istituto
Italiano di Studi Strategici ‘Nicolò Machiavelli’
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Cominciamo dalle basi
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 6 / 124
Cominciamo dalle basi
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Una baKuta per rompere il ghiaccio
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 7 / 124
La mia automobile nel 1987. All’epoca ero molto fiero e non mi preoccupavo di nulla.
Molti non vogliono sentirselo dire, ma l’ICT di oggi, by design, ha il livello di sicurezza
della mia 128 Sport del 1969… Zero. Questo è un problema. Le conseguenze sono inevitabili
e nel 2012 sono costate al mondo quanto il PIL della Danimarca (400 miliardi di dollari).
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ La situazione, in una slide…
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 8 / 124
Fonte: AZM / Clusit – analisi di 1.652 attacchi internazionali significativi 1H 2011 – 2H 2012
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ DeKo questo, possiamo cominciare…
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 9 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Analisi dei principali incidenN a livello internazionale
� La crescita nel numero, nella gravità e nel costo degli attacchi ha assunto nel
2010-11 un andamento esponenziale… e il 2012 ha confermato il trend (+
254% sul 2011).
� Tutti i settori sono attaccati, non è più un “problema altrui”. E’ solo questione
di tempo.
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 10 / 124
di tempo.
� Molti sono già stati attaccati e non lo sanno… (infiniti esempi!)
� Le organizzazioni e gli utenti (governativi, business, privati) sono del tutto
impreparati e non si rendono conto della velocità di evoluzione delle minacce.
NB spam e virus sono preistoria…
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Conseguenza: cybercrime + 370% nel 2012
Master in Homeland SecurityMaster in Homeland Security
Raoul Chiesa - Security Brokers, Inc. 11 / 124Raoul Chiesa - Andrea Zapparoli Manzoni
Distribuzione degli attaccanti in valori assoluti (su 1.652 attacchi analizzati, di cui 1.183
nel 2012). Media + 254%, Cyber Crime + 370%
Roma 9 maggio 2013
→ Le principali minacce
Sono tre le minacce principali, in ordine di frequenza degli incidenti (ma non di
gravità, nel qual caso l’ordine è inverso):
� Negligenza, errore umano e frodi realizzati da Insiders.
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 12 / 124
� Cyber crime transnazionale organizzato (incassa 15Md $ all’anno
producendo danni diretti ed indiretti per quasi 400Md $ a livello globale)
� Cyber Espionage e Cyber Warfare (da parte di soggetti state-sponsored e
di mercenari)
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Profiling «Hackers» (United Nations, UNICRI, HPP V1.0 – 2004-2010)
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 13 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Profiling «Hackers» (United Nations, UNICRI, HPP V2.0 – 2011-2012)
1. Wannabe Lamer
2. Script kiddie: under development (Web Defacers, DDoS, links with distributed teams
i.e. Anonymous….)
3. Cracker: under development (Hacking on-demand, “outsourced”; links with Organized
Crime)
4. Ethical hacker: under development (security researchers, ethical hacking groups)
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 14 / 124
4. Ethical hacker: under development (security researchers, ethical hacking groups)
5. Quiet, paranoid, skilled hacker (elite, unexplained hacks?)
6. Cyber-warrior: to be developed
7. Industrial spy: to be developed (links with Organized Crimes & Governments i.e. “The
Comodo and DigiNotar” hacks?)
8. Government agent: to be developed (“N” countries..)
9. Military hacker: to be developed (India, China, N./S. Korea, etc.)
X. Money Mules? Ignorant “DDoSsers”? (i.e. LOIC by Anonymous)
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Evoluzione delle minacce
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 15 / 124
Distribuzione degli attaccanti in percentuale. Il Cyber Crime passa dal 36% al 54%. Gli
attaccanti sconosciuti diminuiscono dal 32% al 9% (buon segno, la Cyber Intelligence
funziona ☺ ).
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Tipologie di vi[me
VITTIME PER TIPOLOGIA 2011 2012 Totale Incremento
Institutions: Gov - Mil - LEAs - Intelligence 153 374 527 244,44%
Others 97 194 291 200,00%
Industry: Entertainment / News 76 175 251 230,26%
Industry: Online Services / Cloud 15 136 151 906,67%
Institutions: Research - Education 26 104 130 400,00%
Industry: Banking / Finance 17 59 76 347,06%
Industry: Software / Hardware Vendor 27 59 86 218,52%
Industry: Telco 11 19 30 172,73%
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 16 / 124
Industry: Telco 11 19 30 172,73%
Gov. Contractors / Consulting 18 15 33 -16,67%
Industry: Security Industry: 17 14 31 -17,65%
Religion 0 14 14 1400,00%
Industry: Health 10 11 21 110,00%
Industry: Chemical / Medical 2 9 11 450,00%
TOTALE 469 1.183 1.652 252,24
Distribuzione delle vittime (su 1.652 attacchi analizzati). Social, Cloud e Online Services
crescono del 900%, e-Health 450%, Research/Education 400%, Banche 347%
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Tecniche di aKacco
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 17 / 124
Nella maggior parte dei casi gli attacchi sono stati realizzati con tecniche ben conosciute,
sfruttando cioè la mancanza di patch, misconfigurazioni, falle organizzative, la mancanza di
awareness da parte degli utenti etc, ovvero tutte vulnerabilità che potrebbero e dovrebbero
essere mitigate, se non eliminate, con una certa facilità, mentre ancora nel 2012 hanno
rappresentato il 68% del totale. Da questo grafico appare evidente come i difensori abbiano
ampi margini di miglioramento (per usare un eufemismo).
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Un approfondimento: I Social Networks
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 18 / 124
PsyOps tramite Twitter
(Syrian Electronic Army)
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Un approfondimento: I Social Networks
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 19 / 124
L’Hack dell’account Twitter di AP causa una perdita di 53B $ al NYSE….
A vantaggio di chi ?
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ A proposito di DDoS…
La banda utilizzata dal recente DDoS contro Spamhaus (300Gbps) è più del doppio
della banda utilizzata ieri nei momenti di picco dal MIX di Milano (113 Gbps) ☺☺☺☺
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 20 / 124
-> 300 Gbps sono sufficienti per buttare fuori da Internet una nazione medio-grande.
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Cybercrime, l’attività più redditizia del mondo
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 21 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Il paradosso italiano
� I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012).
� Gli utenti di Social Network sono l’85,6% degli utenti online (23 M).
� Il 28% della popolazione usa uno smartphone (17 M).
� In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena consapevolezza
dei rischi informatici connessi ai sistemi mobile e di prendere contromisure.
� Mancano i dati, ma per analogia con altri Paesi (dove i dati ci sono) in Italia il costo degli
incidenti informatici nel 2012 si può valutare in alcuni miliardi di euro / anno (perdite dirette
ed indirette), escluso il furto di IP.
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 22 / 124
ed indirette), escluso il furto di IP.
Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security efficaci (educazione,
prevenzione, gestione degli incidenti) e non investiamo.
Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi.
Risultato: nel 2012 l’Italia è al nono posto a livello globale per la diffusione di malware e
soprattutto al primo posto in Europa (quarto posto a livello mondiale) per numero di PC
infettati e controllati da cyber criminali (le cosiddette botnet).
Sempre nel 2012, quasi 9 milioni di italiani sono stati oggetto di qualche forma di crimine
Informatico o di crimine tradizionale realizzato per vie informatiche.
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Il paradosso italiano
� Attacchi significativi noti conto bersagli italiani
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 23 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
© Clusit – Rapporto 2013 sulla Sicurezza ICT in Italia
Information Warfare
→ Veniamo al dunque…
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 24 / 124
Cyber Espionage Cyber Warfare
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Attori
I cyber-conflicts oggi sono condotti attraverso uno
spettro molto ampio di tecniche alla portata di un
numero crescente di attori, che le applicano per
scopi, con modalità ed intensità variabili e contro
ogni genere di bersaglio (infrastrutture critiche,
sistemi governativi, sistemi militari, aziende di ogni
dimensione, banche, media, gruppi di interesse,
privati cittadini, …)
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 25 / 124
privati cittadini, …)
� Stati Nazionali
� IC / LEAs
� Cybercrime organizzato
� Hacktivisti Tutti contro tutti
� Spie industriali
� Terroristi
� Corporations
� Mercenari
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Attori
Nel biennio 2010-2012 la maggior parte degli Stati si
sono dotati ufficialmente di dottrine ufficiali relative al
cyberwarfare (altri informalmente). Ad oggi manca
l’Italia.
I più attivi sono USA, UK, Francia, Germania, Israele,
S.Korea, Cina e Russia.
Nello stesso periodo sono nate compagnie di ventura e
diverse organizzazioni criminali (p.es. Cartelli della droga
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 26 / 124
diverse organizzazioni criminali (p.es. Cartelli della droga
messicani, gang cinesi e dell’europa dell’Est) si sono
dotate di strutture paramilitari dedicate non solo al
cybercrime ma anche ad attività (molto redditizie) di
cyberwarfare e di produzione di cyberweapons per
“conto terzi”.
Anche un certo numero di corporations sono entrate nel
business e/o si stanno dotando di strumenti offensivi, in
una sorta di corsa agli armamenti in stile “cold war”.
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Nulla di nuovo soKo il sole? Nel 2004…
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 27 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Il problema oggi è la scala delle minacce…
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 28 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Vettori di attacco contro IC: APTs
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 29 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Vettori di attacco contro IC: Web (!!)
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 30 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Vettori di attacco contro IC: Mobile/BYOD
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 31 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Tecniche di aKacco contro IC: Cyber Weapons
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 32 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Tecniche di aKacco contro IC: Cyber Weapons
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 33 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ From Cybercrime to Cyber War
• Botnet & drone armies
• DDoS
• Server hacking
• Encryption
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 34 / 124
• Trojans & Worms
• Malware
• Extortion & Ransom
• Man in the Middle
© 2009-2012 Jart Armin, Raoul Chiesa
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Come si definisce dal punto di vista giuridico una cyber-arma?
1. il contesto, che dovrà essere quello tipico di un atto di cyber-warfare, definibile
come un conflitto tra attori, statuali e non, caratterizzato dall’utilizzo di sistemi
informativi tecnologici, al fine di raggiungere, mantenere o difendere una
condizione di vantaggio strategico, operativo e/o tattico.
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
→ Cyber Weapon: aspetti giuridici e strategici
Raoul Chiesa - Security Brokers, Inc. 35 / 124
2. lo scopo, che dovrà essere quello di procurare anche indirettamente un danno
fisico a cose o persone, ovvero di sabotare o danneggiare in maniera diretta i
sistemi informativi di un obiettivo sensibile del soggetto attaccato.
3. il mezzo/strumento, che dovrà essere quello di un attacco compiuto attraverso
l’utilizzo di sistemi informativi tecnologici, ivi compresa la rete Internet
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Una cyber-arma è (.. prima definizione formale al mondo..!):
“Un’apparecchiatura, un dispositivo ovvero un qualsiasi insieme di istruzioni
informatiche utilizzato all’interno di un conflitto tra attori, statuali e non, al fine di
procurare anche indirettamente un danno fisico a cose o persone, ovvero di sabotare
o danneggiare in maniera diretta i sistemi informativi di un obiettivo sensibile del
soggetto attaccato”
[S. M – “C - : ( 2.0)”, 2013]
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
→ Cyber Weapon: aspetti giuridici e strategici
Raoul Chiesa - Security Brokers, Inc. 36 / 124
[S. MELE – “CYBER-WEAPON: ASPETTI GIURIDICI E STRATEGICI (VERSIONE 2.0)”, 2013]
Sulla base di questo assunto, Stuxnet è certamente una cyber-weapon in quanto è:
� un insieme di istruzioni informatiche, sotto forma di programma eseguibile/worm,
� utilizzato all’interno di un conflitto – in questo caso non palese – tra alcuni specifici
attori statuali (contesto)
� per alterare in maniera diretta il funzionamento di un obiettivo critico iraniano fino al
suo danneggiamento (scopo)
� attraverso lo sfruttamento di sistemi informativi tecnologici (mezzo/strumento)
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Case study: se malware come Stuxnet o Shamoon avessero avuto
come principale obiettivo un’infrastruttura critica Italiana, come
avremmo qualificato giuridicamente l’atto e di chi sarebbe stata la
competenza?
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
→ Cyber Weapon: aspetti giuridici e strategici
Raoul Chiesa - Security Brokers, Inc. 37 / 124
Case study: se malware come Flame, Duqu o Rocra avessero
avuto come principale obiettivo informazioni riservate Italiane,
come avremmo qualificato giuridicamente l’atto e di chi sarebbe
stata la competenza?
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Convergenza tra azioni tipiche di cyber-crime e interessi statali
Stati impegnati a capitalizzare il più possibile gli investimenti in
materia di ricerca tecnica, tecnologica e di know-how sulla
sicurezza informatica, portati avanti principalmente da gruppi di
ricercatori indipendenti e, soprattutto, da gruppi di criminali
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
→ Cyber Weapon: aspetti giuridici e strategici
Raoul Chiesa - Security Brokers, Inc. 38 / 124
ricercatori indipendenti e, soprattutto, da gruppi di criminali
informatici.
Pare sempre più rafforzarsi l’idea che siano proprio i gruppi di
criminali informatici ad essere i destinatari privilegiati da parte
di alcuni Governi del sub-appalto di determinate azioni
condotte nel cyber-spazio al di fuori della legalità.
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Danno causato dalle cyber-armi
Perché si possa parlare realmente di una cyber-war occorre
imprescindibilmente che gli atti posti in essere dai soggetti
agenti attraverso il cyber-spazio causino dei danni reali “off-
line”, sui cittadini o sulle infrastrutture (palazzi, strade, ponti,
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
→ Cyber Weapon: aspetti giuridici e strategici
Raoul Chiesa - Security Brokers, Inc. 39 / 124
line”, sui cittadini o sulle infrastrutture (palazzi, strade, ponti,
ecc).
Ugualmente per parlare di cyber-armi occorrerà che essi creino
direttamente dei danni tangibili o comunque
significativamente rilevabili nei confronti del loro bersaglio.
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Arco temporale di utilizzazione
A differenza delle armi convenzionali, che hanno un eccellente ritorno sia in
termini di efficacia che, soprattutto, in termini di resistenza della produttività
dell’investimento al trascorrere del tempo, quelli nel settore delle cyber-
weapon funzionano, di contro, in maniera totalmente diversa e hanno un arco
temporale di utilizzazione decisamente molto più compresso.
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
→ Cyber Weapon: aspetti giuridici e strategici
Raoul Chiesa - Security Brokers, Inc. 40 / 124
temporale di utilizzazione decisamente molto più compresso.
P (produttività) = U (utilizzazione) – (T (tempo) * V (vulnerabilità))
P= Produttività dell’investimento nelle cyber-weapon
U= Linea temporale di utilizzazione
T = Trascorrere del tempo
V = Numero di vulnerabilità da sfruttare
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→The 0-day market’ prices : what official surveys tell us.
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 41 / 124
Source: Forbes, “Shopping For Zero-Days: A Price List For Hackers’ Secret Software Exploits”, 2012
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ 0-day Market prices – hacker’s surveys.
Public Knowledge
of the vulnerability
Buyer’s typology
IS = IT Security companies
INT = Intelligence Agencies
for Governmental use
(National Security protection)
MIL = MoD/related actors
for warfare use
OC = Cybercrime
0-day Exploit
code + PoC Cost:
Min/Max
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 42 / 124
OC = Cybercrime
Y IS 10K – 50K USD
Y INT 30K – 150K USD
Y MIL 50K – 200K USD
Y OC 5K – 80K USD
N ALL x2 – x10
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Weaponizing 0-days
Attribution
or
Obsfuscation
of the
Attack(s)
Vulnerability relays on:
Operating System ( OS)
Major General Applications
(MGA)
SCADA-Industrial
Automation (SCADA)
Buyer’s typology
IS = IT Security companies
INT = Intelligence Agencies
for Governmental use
(National Security protection)
MIL = MoD/related actors
for warfare use
OP = Outsourced «Partners»
OC = Cybercrime
0-day
Exploit code
+
PoC :
Min/Max
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 43 / 124
Attack(s)OC = Cybercrime
Y OS OP 40K – 100K
Y MGA INT 100K – 300K
Y SCADA MIL 100K – 300K
N OS OP / MIL 300K – 600K
N SCADA OP / MIL 400K – 1M
Outsourced to (Black) OPs
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Cyber Intelligence / Planning
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 44 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Sorry. You should have attended the Conference to see this slide.
→ Computer Network Exploitation (CNE) esempio 1
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 45 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Sorry. You should have attended the Conference to see this slide.
→ Computer Network Exploitation (CNE) esempio 2
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 46 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Sorry. You should have attended the Conference to see this slide.
→ Putting all together
• „dummy list“ of „ID-10T“ for phishing
• background info on organisation (orgchart etc.)
• Primer for sector-specific social-engineering
• proxy servers
• banking arrangements
• purchase attack-kits
• rent botnets
• equipment to mimic target network
• dummy run on similar network
• sandbox zerodays
Most CNE attacks are non-state,
but they are state directed, affiliated, or tolerated �
and virtually all of them depend on the non-state for support
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 47 / 124
• rent botnets
• find (trade!) good C&C server
• purchase 0-days / certificates
• purchase skill-set
• bespoke payload / search terms•Purchase L2/L3 system data
Alexander Klimburg 2012
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ La Sicurezza delle Infrastrutture Critiche è un problema serio ed urgente
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
�The number of detected vulnerabilities has increased
by 20 times (since 2010).
�50% of vulnerabilities allow to execute code.
�There are exploits for 35% of vulnerabilities.
Raoul Chiesa - Security Brokers, Inc. 48 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
�41% of vulnerabilities are critical. More than 40% of
systems available from the Internet can be hacked by
unprofessional users. (Metasploit?)
�54% and 39% of systems available from the Internet
in Europe and North America respectively are
vulnerable.
� …Fate un giro su Shodan �
→ Come fare Sicurezza delle Infrastrutture Critiche
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 49 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
NB Awareness, responsabilizzazione, organizzazione, policies e tecnologie
funzionano solo se applicati insieme. E senza intelligence sharing non andiamo
da nessuna parte! Nascondere gli attacchi subiti è sbagliato.
→ Come fare Sicurezza delle Infrastrutture Critiche
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 50 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
Rimangono aperte delle questioni fondamentali: chi si occupa di coordinare tutta questa
complessità? Come impostare la cooperazione civile-militare in questo settore? Quali
priorità dobbiamo seguire? E soprattutto: chi paga?
→ Riflessioni conclusive
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc. 51 / 124
Il mondo cambia ad una velocità spaventosa. Dobbiamo adeguarci…. Subito!
Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013
→ Grazie!
Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare
Raoul Chiesa - Security Brokers, Inc.
Andrea Zapparoli Manzoni
Raoul Chiesa
Stefano Mele
©Security Brokers SCpA Roma 17 giugno 2013