infrastrutture critiche e cyber warfare · crescente rischio di “blackswans” (hilp) ... questo...

Cyber Security Forum 2013 - SapienzaCyber Security Forum 2013 - Sapienza

Dalla sicurezza delle infrastrutture critiche alla Information Warfare

Raoul Chiesa - Security Brokers, Inc. 1 / 124Roma 17 giugno 2013©Security Brokers SCpA

→Perché siamo qui?

� 2012: + 250% di cyber attacchi gravi nel mondo

� Moltiplicazione degli attori e delle capacità offensive

� Tutti sono bersagli (privati, aziende, istituzioni)

� Tutte le piattaforme sono bersagli

� Le difese tradizionali non funzionano più

� Violazione di target prima impensabili

Dalla Sicurezza delle Infrastrutture Critiche all’Information WarfareDalla Sicurezza delle Infrastrutture Critiche all’Information Warfare

Raoul Chiesa - Security Brokers, Inc. 2 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni

� Violazione di target prima impensabili

� Il ROI per gli attaccanti è elevatissimo

� Il rischio per gli attaccanti è bassissimo

� Crescente rischio di “Black Swans” (HILP)

� Carenza di leggi e norme ad hoc

� Necessità di gestire rischi ed incidenti (in real time)

� Necessità di adeguare il sistema Paese ai nuovi scenari

Roma 17 giugno 2013

→Chi siamo

Raoul Chiesa

� Founder, President, Security Brokers

� Principal, CyberDefcon UK

� Senior Advisor on Cybercrime presso l’UNICRI (United Nations

Interregional Crime & Justice Research Institute), 2004-oggi

� Membro del PSG, ENISA (Permanent Stakeholders Group, European

Network & Information Security Agency) 2012-2015

Coordinatore e Membro del GdL «Cyberworld» presso OSN/Ce.Mi.S.S.


Raoul Chiesa - Security Brokers, Inc. 3 / 124

� Coordinatore e Membro del GdL «Cyberworld» presso OSN/Ce.Mi.S.S.

� Socio Fondatore, Membro del Comitato Direttivo e del Comitato Tecnico-

Scientifico del CLUSIT, 2000-oggi

� Comitato Direttivo AIP/OPSI, Osservatorio Privacy e Sicurezza

� Board of Directors, ISECOM, 2000-oggi

� Board of Directors, OWASP Italian Chapter 2007-oggi

� Socio Fondatore, @ Mediaservice.net, 1997

Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013

→Chi siamo

Andrea Zapparoli Manzoni

� Founder, General Manager, Security Brokers

� Founder, CEO, iDIALOGHI

� Membro del GdL «Cyberworld» presso OSN/Ce.Mi.S.S.


Raoul Chiesa - Security Brokers, Inc. 4 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni

� Membro CD APASS / resp. Information Warfare

� Membro CD Assintel / Coordinatore GdL ICT Security

� Membro CD e Docente Clusit (SCADA, Social Media Sec,

Antifrode, DLP…)

� Co-autore Rapporto Clusit 2012 e 2013

Roma 17 giugno 2013

→Chi siamo

Stefano Mele

� Avvocato specializzato in ICT Law, Privacy, Sicurezza ed Intelligence presso Carnelutti

Studio Legale Associato

� Dottore di ricerca presso l’Università degli Studi di Foggia

� Collabora presso le cattedre di Informatica Giuridica e Informatica Giuridica avanzata

della Facoltà di Giurisprudenza dell’Università degli Studi di Milano

� Consulente per organizzazioni nazionali ed estere sui temi della cyber-security, cyber-

terrorism e cyber-warfare



terrorism e cyber-warfare

� Direttore di Ricerca su “Cyber-security & Cyber-Intelligence” del Ce.Mi.S.S. (Centro

Militare di Studi Strategici)

� Responsabile del sottogruppo “Diritto interno e comparato” del tavolo “CyberWorld”

presso l’OSN (Osservatorio per la Sicurezza Nazionale) del Ce.Mi.S.S.

� Docente presso gli Istituti di formazione e di ricerca del Ministero della Difesa

� Docente di “Intelligence e utilizzo delle informazioni per la gestione della sicurezza nei

Paesi a rischio” presso il Peace Operations Training Institute (POTI-UN)

� Coordinatore dell’Osservatorio “InfoWarfare e Tecnologie emergenti” dell'Istituto

Italiano di Studi Strategici ‘Nicolò Machiavelli’


Cominciamo dalle basi



Cominciamo dalle basi


→ Una baKuta per rompere il ghiaccio



La mia automobile nel 1987. All’epoca ero molto fiero e non mi preoccupavo di nulla.

Molti non vogliono sentirselo dire, ma l’ICT di oggi, by design, ha il livello di sicurezza

della mia 128 Sport del 1969… Zero. Questo è un problema. Le conseguenze sono inevitabili

e nel 2012 sono costate al mondo quanto il PIL della Danimarca (400 miliardi di dollari).


→ La situazione, in una slide…



Fonte: AZM / Clusit – analisi di 1.652 attacchi internazionali significativi 1H 2011 – 2H 2012


→ DeKo questo, possiamo cominciare…


Raoul Chiesa - Security Brokers, Inc. 9 / 124Raoul Chiesa – Stefano Mele - Andrea Zapparoli Manzoni Roma 17 giugno 2013

→ Analisi dei principali incidenN a livello internazionale

� La crescita nel numero, nella gravità e nel costo degli attacchi ha assunto nel

2010-11 un andamento esponenziale… e il 2012 ha confermato il trend (+

254% sul 2011).

� Tutti i settori sono attaccati, non è più un “problema altrui”. E’ solo questione

di tempo.



di tempo.

� Molti sono già stati attaccati e non lo sanno… (infiniti esempi!)

� Le organizzazioni e gli utenti (governativi, business, privati) sono del tutto

impreparati e non si rendono conto della velocità di evoluzione delle minacce.

NB spam e virus sono preistoria…


→ Conseguenza: cybercrime + 370% nel 2012

Master in Homeland SecurityMaster in Homeland Security

Raoul Chiesa - Security Brokers, Inc. 11 / 124Raoul Chiesa - Andrea Zapparoli Manzoni

Distribuzione degli attaccanti in valori assoluti (su 1.652 attacchi analizzati, di cui 1.183

nel 2012). Media + 254%, Cyber Crime + 370%

Roma 9 maggio 2013

→ Le principali minacce

Sono tre le minacce principali, in ordine di frequenza degli incidenti (ma non di

gravità, nel qual caso l’ordine è inverso):

� Negligenza, errore umano e frodi realizzati da Insiders.



� Cyber crime transnazionale organizzato (incassa 15Md $ all’anno

producendo danni diretti ed indiretti per quasi 400Md $ a livello globale)

� Cyber Espionage e Cyber Warfare (da parte di soggetti state-sponsored e

di mercenari)


→ Profiling «Hackers» (United Nations, UNICRI, HPP V1.0 – 2004-2010)



→ Profiling «Hackers» (United Nations, UNICRI, HPP V2.0 – 2011-2012)

1. Wannabe Lamer

2. Script kiddie: under development (Web Defacers, DDoS, links with distributed teams

i.e. Anonymous….)

3. Cracker: under development (Hacking on-demand, “outsourced”; links with Organized

Crime)

4. Ethical hacker: under development (security researchers, ethical hacking groups)



4. Ethical hacker: under development (security researchers, ethical hacking groups)

5. Quiet, paranoid, skilled hacker (elite, unexplained hacks?)

6. Cyber-warrior: to be developed

7. Industrial spy: to be developed (links with Organized Crimes & Governments i.e. “The

Comodo and DigiNotar” hacks?)

8. Government agent: to be developed (“N” countries..)

9. Military hacker: to be developed (India, China, N./S. Korea, etc.)

X. Money Mules? Ignorant “DDoSsers”? (i.e. LOIC by Anonymous)


→ Evoluzione delle minacce



Distribuzione degli attaccanti in percentuale. Il Cyber Crime passa dal 36% al 54%. Gli

attaccanti sconosciuti diminuiscono dal 32% al 9% (buon segno, la Cyber Intelligence

funziona ☺ ).


→ Tipologie di vi[me

VITTIME PER TIPOLOGIA 2011 2012 Totale Incremento

Institutions: Gov - Mil - LEAs - Intelligence 153 374 527 244,44%

Others 97 194 291 200,00%

Industry: Entertainment / News 76 175 251 230,26%

Industry: Online Services / Cloud 15 136 151 906,67%

Institutions: Research - Education 26 104 130 400,00%

Industry: Banking / Finance 17 59 76 347,06%

Industry: Software / Hardware Vendor 27 59 86 218,52%

Industry: Telco 11 19 30 172,73%



Industry: Telco 11 19 30 172,73%

Gov. Contractors / Consulting 18 15 33 -16,67%

Industry: Security Industry: 17 14 31 -17,65%

Religion 0 14 14 1400,00%

Industry: Health 10 11 21 110,00%

Industry: Chemical / Medical 2 9 11 450,00%

TOTALE 469 1.183 1.652 252,24

Distribuzione delle vittime (su 1.652 attacchi analizzati). Social, Cloud e Online Services

crescono del 900%, e-Health 450%, Research/Education 400%, Banche 347%


→ Tecniche di aKacco



Nella maggior parte dei casi gli attacchi sono stati realizzati con tecniche ben conosciute,

sfruttando cioè la mancanza di patch, misconfigurazioni, falle organizzative, la mancanza di

awareness da parte degli utenti etc, ovvero tutte vulnerabilità che potrebbero e dovrebbero

essere mitigate, se non eliminate, con una certa facilità, mentre ancora nel 2012 hanno

rappresentato il 68% del totale. Da questo grafico appare evidente come i difensori abbiano

ampi margini di miglioramento (per usare un eufemismo).


→ Un approfondimento: I Social Networks



PsyOps tramite Twitter

(Syrian Electronic Army)


→ Un approfondimento: I Social Networks



L’Hack dell’account Twitter di AP causa una perdita di 53B $ al NYSE….

A vantaggio di chi ?


→ A proposito di DDoS…

La banda utilizzata dal recente DDoS contro Spamhaus (300Gbps) è più del doppio

della banda utilizzata ieri nei momenti di picco dal MIX di Milano (113 Gbps) ☺☺☺☺



-> 300 Gbps sono sufficienti per buttare fuori da Internet una nazione medio-grande.


→ Cybercrime, l’attività più redditizia del mondo



→ Il paradosso italiano

� I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012).

� Gli utenti di Social Network sono l’85,6% degli utenti online (23 M).

� Il 28% della popolazione usa uno smartphone (17 M).

� In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena consapevolezza

dei rischi informatici connessi ai sistemi mobile e di prendere contromisure.

� Mancano i dati, ma per analogia con altri Paesi (dove i dati ci sono) in Italia il costo degli

incidenti informatici nel 2012 si può valutare in alcuni miliardi di euro / anno (perdite dirette

ed indirette), escluso il furto di IP.



ed indirette), escluso il furto di IP.

Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security efficaci (educazione,

prevenzione, gestione degli incidenti) e non investiamo.

Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi.

Risultato: nel 2012 l’Italia è al nono posto a livello globale per la diffusione di malware e

soprattutto al primo posto in Europa (quarto posto a livello mondiale) per numero di PC

infettati e controllati da cyber criminali (le cosiddette botnet).

Sempre nel 2012, quasi 9 milioni di italiani sono stati oggetto di qualche forma di crimine

Informatico o di crimine tradizionale realizzato per vie informatiche.


→ Il paradosso italiano

� Attacchi significativi noti conto bersagli italiani



© Clusit – Rapporto 2013 sulla Sicurezza ICT in Italia

Information Warfare

→ Veniamo al dunque…



Cyber Espionage Cyber Warfare


→ Attori

I cyber-conflicts oggi sono condotti attraverso uno

spettro molto ampio di tecniche alla portata di un

numero crescente di attori, che le applicano per

scopi, con modalità ed intensità variabili e contro

ogni genere di bersaglio (infrastrutture critiche,

sistemi governativi, sistemi militari, aziende di ogni

dimensione, banche, media, gruppi di interesse,

privati cittadini, …)



privati cittadini, …)

� Stati Nazionali

� IC / LEAs

� Cybercrime organizzato

� Hacktivisti Tutti contro tutti

� Spie industriali

� Terroristi

� Corporations

� Mercenari


→ Attori

Nel biennio 2010-2012 la maggior parte degli Stati si

sono dotati ufficialmente di dottrine ufficiali relative al

cyberwarfare (altri informalmente). Ad oggi manca

l’Italia.

I più attivi sono USA, UK, Francia, Germania, Israele,

S.Korea, Cina e Russia.

Nello stesso periodo sono nate compagnie di ventura e

diverse organizzazioni criminali (p.es. Cartelli della droga



diverse organizzazioni criminali (p.es. Cartelli della droga

messicani, gang cinesi e dell’europa dell’Est) si sono

dotate di strutture paramilitari dedicate non solo al

cybercrime ma anche ad attività (molto redditizie) di

cyberwarfare e di produzione di cyberweapons per

“conto terzi”.

Anche un certo numero di corporations sono entrate nel

business e/o si stanno dotando di strumenti offensivi, in

una sorta di corsa agli armamenti in stile “cold war”.


→ Nulla di nuovo soKo il sole? Nel 2004…



→ Il problema oggi è la scala delle minacce…



→ Vettori di attacco contro IC: APTs



→ Vettori di attacco contro IC: Web (!!)



→ Vettori di attacco contro IC: Mobile/BYOD



→ Tecniche di aKacco contro IC: Cyber Weapons



→ From Cybercrime to Cyber War

• Botnet & drone armies

• DDoS

• Server hacking

• Encryption



• Trojans & Worms

• Malware

• Extortion & Ransom

• Man in the Middle

© 2009-2012 Jart Armin, Raoul Chiesa


Come si definisce dal punto di vista giuridico una cyber-arma?

1. il contesto, che dovrà essere quello tipico di un atto di cyber-warfare, definibile

come un conflitto tra attori, statuali e non, caratterizzato dall’utilizzo di sistemi

informativi tecnologici, al fine di raggiungere, mantenere o difendere una

condizione di vantaggio strategico, operativo e/o tattico.


→ Cyber Weapon: aspetti giuridici e strategici


2. lo scopo, che dovrà essere quello di procurare anche indirettamente un danno

fisico a cose o persone, ovvero di sabotare o danneggiare in maniera diretta i

sistemi informativi di un obiettivo sensibile del soggetto attaccato.

3. il mezzo/strumento, che dovrà essere quello di un attacco compiuto attraverso

l’utilizzo di sistemi informativi tecnologici, ivi compresa la rete Internet


Una cyber-arma è (.. prima definizione formale al mondo..!):

“Un’apparecchiatura, un dispositivo ovvero un qualsiasi insieme di istruzioni

informatiche utilizzato all’interno di un conflitto tra attori, statuali e non, al fine di

procurare anche indirettamente un danno fisico a cose o persone, ovvero di sabotare

o danneggiare in maniera diretta i sistemi informativi di un obiettivo sensibile del

soggetto attaccato”

[S. M – “C - : ( 2.0)”, 2013]




[S. MELE – “CYBER-WEAPON: ASPETTI GIURIDICI E STRATEGICI (VERSIONE 2.0)”, 2013]

Sulla base di questo assunto, Stuxnet è certamente una cyber-weapon in quanto è:

� un insieme di istruzioni informatiche, sotto forma di programma eseguibile/worm,

� utilizzato all’interno di un conflitto – in questo caso non palese – tra alcuni specifici

attori statuali (contesto)

� per alterare in maniera diretta il funzionamento di un obiettivo critico iraniano fino al

suo danneggiamento (scopo)

� attraverso lo sfruttamento di sistemi informativi tecnologici (mezzo/strumento)


Case study: se malware come Stuxnet o Shamoon avessero avuto

come principale obiettivo un’infrastruttura critica Italiana, come

avremmo qualificato giuridicamente l’atto e di chi sarebbe stata la

competenza?




Case study: se malware come Flame, Duqu o Rocra avessero

avuto come principale obiettivo informazioni riservate Italiane,

come avremmo qualificato giuridicamente l’atto e di chi sarebbe

stata la competenza?


Convergenza tra azioni tipiche di cyber-crime e interessi statali

Stati impegnati a capitalizzare il più possibile gli investimenti in

materia di ricerca tecnica, tecnologica e di know-how sulla

sicurezza informatica, portati avanti principalmente da gruppi di

ricercatori indipendenti e, soprattutto, da gruppi di criminali




ricercatori indipendenti e, soprattutto, da gruppi di criminali

informatici.

Pare sempre più rafforzarsi l’idea che siano proprio i gruppi di

criminali informatici ad essere i destinatari privilegiati da parte

di alcuni Governi del sub-appalto di determinate azioni

condotte nel cyber-spazio al di fuori della legalità.


Danno causato dalle cyber-armi

Perché si possa parlare realmente di una cyber-war occorre

imprescindibilmente che gli atti posti in essere dai soggetti

agenti attraverso il cyber-spazio causino dei danni reali “off-

line”, sui cittadini o sulle infrastrutture (palazzi, strade, ponti,




line”, sui cittadini o sulle infrastrutture (palazzi, strade, ponti,

ecc).

Ugualmente per parlare di cyber-armi occorrerà che essi creino

direttamente dei danni tangibili o comunque

significativamente rilevabili nei confronti del loro bersaglio.


Arco temporale di utilizzazione

A differenza delle armi convenzionali, che hanno un eccellente ritorno sia in

termini di efficacia che, soprattutto, in termini di resistenza della produttività

dell’investimento al trascorrere del tempo, quelli nel settore delle cyber-

weapon funzionano, di contro, in maniera totalmente diversa e hanno un arco

temporale di utilizzazione decisamente molto più compresso.




temporale di utilizzazione decisamente molto più compresso.

P (produttività) = U (utilizzazione) – (T (tempo) * V (vulnerabilità))

P= Produttività dell’investimento nelle cyber-weapon

U= Linea temporale di utilizzazione

T = Trascorrere del tempo

V = Numero di vulnerabilità da sfruttare


→The 0-day market’ prices : what official surveys tell us.



Source: Forbes, “Shopping For Zero-Days: A Price List For Hackers’ Secret Software Exploits”, 2012


→ 0-day Market prices – hacker’s surveys.

Public Knowledge

of the vulnerability

Buyer’s typology

IS = IT Security companies

INT = Intelligence Agencies

for Governmental use

(National Security protection)

MIL = MoD/related actors

for warfare use

OC = Cybercrime

0-day Exploit

code + PoC Cost:

Min/Max



OC = Cybercrime

Y IS 10K – 50K USD

Y INT 30K – 150K USD

Y MIL 50K – 200K USD

Y OC 5K – 80K USD

N ALL x2 – x10


→ Weaponizing 0-days

Attribution

or

Obsfuscation

of the

Attack(s)

Vulnerability relays on:

Operating System ( OS)

Major General Applications

(MGA)

SCADA-Industrial

Automation (SCADA)

Buyer’s typology

IS = IT Security companies

INT = Intelligence Agencies

for Governmental use

(National Security protection)

MIL = MoD/related actors

for warfare use

OP = Outsourced «Partners»

OC = Cybercrime

0-day

Exploit code

+

PoC :

Min/Max



Attack(s)OC = Cybercrime

Y OS OP 40K – 100K

Y MGA INT 100K – 300K

Y SCADA MIL 100K – 300K

N OS OP / MIL 300K – 600K

N SCADA OP / MIL 400K – 1M

Outsourced to (Black) OPs


→ Cyber Intelligence / Planning



Sorry. You should have attended the Conference to see this slide.

→ Computer Network Exploitation (CNE) esempio 1




→ Computer Network Exploitation (CNE) esempio 2




→ Putting all together

• „dummy list“ of „ID-10T“ for phishing

• background info on organisation (orgchart etc.)

• Primer for sector-specific social-engineering

• proxy servers

• banking arrangements

• purchase attack-kits

• rent botnets

• equipment to mimic target network

• dummy run on similar network

• sandbox zerodays

Most CNE attacks are non-state,

but they are state directed, affiliated, or tolerated �

and virtually all of them depend on the non-state for support



• rent botnets

• find (trade!) good C&C server

• purchase 0-days / certificates

• purchase skill-set

• bespoke payload / search terms•Purchase L2/L3 system data

Alexander Klimburg 2012


→ La Sicurezza delle Infrastrutture Critiche è un problema serio ed urgente


�The number of detected vulnerabilities has increased

by 20 times (since 2010).

�50% of vulnerabilities allow to execute code.

�There are exploits for 35% of vulnerabilities.


�41% of vulnerabilities are critical. More than 40% of

systems available from the Internet can be hacked by

unprofessional users. (Metasploit?)

�54% and 39% of systems available from the Internet

in Europe and North America respectively are

vulnerable.

� …Fate un giro su Shodan �

→ Come fare Sicurezza delle Infrastrutture Critiche



NB Awareness, responsabilizzazione, organizzazione, policies e tecnologie

funzionano solo se applicati insieme. E senza intelligence sharing non andiamo

da nessuna parte! Nascondere gli attacchi subiti è sbagliato.

→ Come fare Sicurezza delle Infrastrutture Critiche



Rimangono aperte delle questioni fondamentali: chi si occupa di coordinare tutta questa

complessità? Come impostare la cooperazione civile-militare in questo settore? Quali

priorità dobbiamo seguire? E soprattutto: chi paga?

→ Riflessioni conclusive



Il mondo cambia ad una velocità spaventosa. Dobbiamo adeguarci…. Subito!


→ Grazie!


Raoul Chiesa - Security Brokers, Inc.

Andrea Zapparoli Manzoni

[email protected]

Raoul Chiesa

[email protected]

Stefano Mele

©Security Brokers SCpA Roma 17 giugno 2013

infrastrutture critiche e cyber warfare · crescente rischio di “blackswans” (hilp) ... questo...

Documents