Siamo grati a una cara amica, Barbara Andreotti, nostra collaboratrice che con grande diligenza ha finalizzato questo articolo.

HackInBo è stata una giornata composta da un insieme di talk, utili a sensibilizzare e indirizzare l’interesse delle persone che lavorano nei reparti dell’IT o in quelli correlati. Il tutto è stato affrontato con uno sguardo rivolto alle aziende attraverso un discorso che andava a toccare alcuni punti sensibili, da un’analisi degli strumenti esistenti ai rischi presenti nello scenario odierno. In seguito sono state evidenziate le cause delle infezioni, dapprima mostrando le vie d’accesso dall’esterno e poi analizzando gli scenari di propagazione dall’interno. Sono stati illustrati inoltre i motivi per cui si arriva ad attaccare una rete, dando uno sguardo agli elementi che economicamente possono motivare gli hacker, il tutto condito da un’analisi dello scenario dei black market. In chiusura un insieme di slides e filmati per sensibilizzare le aziende affinchè non temano chi si occupa di sicurezza informatica e non sottovalutino le possibilità e i danni di un attacco.

Qui trovate la presentazione di HackInBo e le slides che i relatori hanno reso disponibili: Slides

Le nuove armi digitali. Aziende ed Enti governativi sono pronti?

relatore Gianni Amato

Negli ultimi anni si sente sempre più parlare di attacchi digitali. I rischi sono reali, ma quali sono le armi che vengono usate e quali gli scenari a cui stiamo andando incontro?

Da un paio di anni a questa parte (a partire dal 2006) nuovi malware hanno fatto la loro comparsa nello scenario del web, con caratteristiche del tutto nuove e innovative rispetto a quelli già presenti, per complessità, funzionalità e finalità.

Sicuramente è passato alla ribalta come prima cyber arma Stuxnet, il cui scopo era il sabotaggio delle centrali di arricchimento dell’uranio Iraniane. Nello specifico attaccava i sistemi SCADA e i PLC, processori utilizzati dalle industrie per linee di produzione, macchine utensili, ecc. La diffusione avveniva tramite l’infezione di periferiche USB e tramite l’utilizzo di 4 0day (infografica di Stuxnet).

Il suo successore, Duqu, aveva un compito differente: era stato creato per monitorare lo stato del programma iraniano e un’analisi comportamentale lo ricondusse alla famiglia di Stuxnet.

Negli anni seguenti i Malware writer cambiarono i tipi d’informazioni da acquisire concentrandosi maggiormente sullo spionaggio industriale e sul furto di dati sensibili, permettendo una maggiore flessibilità del sistema target. Gauss fu uno dei precursori, progettato per il furto di cookie, delle credenziali e dei dati di accesso ai conti bancari. L’elemento innovativo fu l’introduzione di un approccio modulare con la personalizzazione tramite plugin di funzioni specifiche e la gestione degli aggiornamenti tramite internet. Mahdi e Flame seguirono il filone dello spionaggio industriale permettendo l’acquisizione di screenshot, la registrazione di flussi audio/video e il furto di progetti industriali (autocad).

Nel 2012 fece la sua comparsa Wiper, legato alla famiglia di Stuxnet e Duqu, che aveva come unico scopo l’eliminazione di qualsiasi traccia forense dei due malware sopracitati.

In quest’ultimo anno c’è stato un proliferare di nuovi attacchi con target sempre più disparati e le vulnerabilità dei software più diffusi sono diventate il ponte principale grazie al quale l’attaccante può arrivare ai suoi obiettivi. Un esempio che rientra in questa categoria è l’attacco a TOR realizzato sfruttando una vulnerabilità di Firefox anziché una falla del protocollo.

Sulla scia dei malware per lo spionaggio industriale sono nati progetti come Hesperbot Banking Trojan, che come dice il nome stesso punta a intercettare operazioni bancarie effettuate online. Infine è stato portato come esempio Zitmo, una variante del famoso Zeus che ha come obiettivo i dispositivi mobile, ed ha la capacità di bypassare i “two factor authentication system”.

Infine non poteva mancare uno sguardo alle sempre più attuali botnet – poi riprese da Emanuele Gentili nel suo intervento – con la presentazione di Zeus e Spyeye.

Hacking Wifi for Fun and Profit

relatore Gianluca Ghettini

Il wifi è diffuso, è comodo ed è conveniente: per questi motivi viene usato nelle aziende per abbattere i costi e semplificare le infrastutture. Nell’ambito aziendale gli incalzanti standard di sicurezza hanno richiesto lo sviluppo di protocolli per prevenire l’accesso non autorizzato alle reti: negli anni però si sono scoperte vulnerabilità che un malintenzionato può sfruttare per ottenere l’accesso e i protocolli creati per garantire nuovi livelli di sicurezza non si sono dimostrati sufficienti.

Gianluca Ghettini ha portato come esempio le vulnerabilità del protocollo WEP che può permettere a un attaccante di violare la rete in meno di 5 minuti, per poi parlare del WPA e della vulnerabilità legata agli handshake.

Il WPA2 è infine stato definito come protocollo sicuro, per il momento, se applicato correttamente: infatti l’applicazione dell’opzione di retro compatibilità con i protocolli precedenti rende vane le nuove specifiche di sicurezza introdotte. L’intervento si è concluso con un’analisi dell’evidente vulnerabilità del sistema di autenticazione facilitata WPS.

Di chi sono i miei dati?

relatore Paolo Dal Checco

Le minacce per i dati aziendali non sono solo esterne, lo stesso dipendente può essere un pericolo: (questa frase io la spezzerei a metà con : al posto della virgola e la chiudere con . al posto di :, ma è un gusto molto personale) dissapori, licenziamenti, competizione o semplice ingenuità possono portare a perdite di dati o proprietà intellettuali.

Paolo Dal Checco, consulente d’informatica forense e collaboratore della procura di Torino, mostra uno scenario in cui il dipendente si trova a lavorare con dati che pensa essere suoi ma che a livello legale appartengono alla azienda. Portare all’esterno dell’azienda dati sensibili o ancora più semplicemente eliminarli o copiarli risulta essere un reato informatico ma chi compie questo tipo di azioni spesso non si rende conto di compiere un reato. E’ stata inoltre condotta un’interessante analisi del reato informatico, che riteniamo essere un importante spunto di riflessione.

E’ stato posto in evidenza come il reato informatico sia in tutto e per tutto uguale a un reato ordinario, la cui percezione nel commetterlo è però scarsa a causa dei seguenti motivi:

• Facilità di commetterlo
• Errata sensazione di anonimato e impunità
• Percezione dei dati come immateriali
• Scarsa chiarezza sulla proprietà intellettuale: spesso infatti il furto dei dati aziendali non viene visto come reato materiale e l’idea di farne una copia non porta a pensare al furto; questo perché il dipendente non ha una chiara idea di chi siano i dati.

Oltre ai reati informatici avvengono anche gli incidenti informatici, causa diretta di un reato oppure avvenimenti a sé stanti, dovuti ad una perdita di confidenzialità delle informazioni, ad un’interruzione di servizi o all’uso inappropriato degli strumenti aziendali.

Isolare i sistemi coinvolti nell’incidente ed evitarne la contaminazione sono gli elementi chiave dello standard (RFC 3227) utilizzato per minimizzare i danni di un incidente informatico; queste regole ne rendono possibile l’identificazione e la comprensione delle dinamiche.

CyberCrime: come un’azienda può andare in scacco matto

relatore Emanuele Gentili

Emanuele Gentili, penetration tester di Tiger Security, ha evidenziato come le vulnerabilità non risiedano solamente all’interno dei computer: il microcosmo delle aziende o in generale delle reti locali ospita molte specie di dispositivi e tutti quanti possono essere vulnerabili contribuendo alla raccolta d’informazioni.

Durante l’intervento è stato inoltre analizzato il crescente trend delle botnet e dei blackmarket, far west d’internet nel DeepWeb, dove i pirati informatici vengono assoldati per effettuare attacchi di ogni genere, dai DDoS alla creazione di 0day. La valuta principale di scambio sono i bitcoin, cryptovaluta digitale che permette l’anonimato delle transazioni.

Mercato inoltre crescente all’interno dei blackmarket sono i malware o ‘bot’ non più come prodotto, ma come servizio (malware as a service), pacchetti all in one, dal software per la creazione del malware e il cripter (software in grado di offuscare il codice ed evitare il rilevamento degli antivirus) al server per la gestione del master della botnet (C&C).

Uno dei punti che ha colpito maggiormente il pubblico è stato capire con quanta semplicità sia possibile acquistare strumenti simili.

Le aziende sono terreno facile per le infezioni da malware o per attacchi mirati poiché le chiavi di rete e i protocolli possono essere inadeguati e i firmware dei prodotti non aggiornati (cam-ip, stampanti, router), lasciando così spazio ad attacchi. Iinoltre i dipendenti stessi possono inconsapevolemte veicolare i malware nella rete aziendale abboccando ad attacchi di phishing o attraverso l’uso di device in ambienti promiscui (ad esempio lo stesso computer per casa e lavoro).

Basta Hacker in TV!

relatore Alessio Pennasilico

Entrare nel dettaglio di questa presentazione è difficile in quanto l’obbiettivo, perfettamente raggiunto da Alessio, era quello di sensibilizzare il pubblico su quanto seria e attuale sia la minaccia.

L’intervento è stato integrato dalla proiezione di video contenenti spezzoni di film (Matrix, Codice Swordfish, Wargames, ecc.) e da battute efficaci che hanno saputo rapire completamente il pubblico.

Il cinema, negli anni, ci ha presentato la figura degli hacker in scenari completamente improbabili dove gli attacchi erano evidenti a causa di alert lampeggianti e teschi per indicare i virus; d’altra parte ha anche mostrato scene complesse e attacchi reali, facendoli percepire come elementi fantascientifici, surreali e improbabili (es. exploit di Trinity in Matrix).

Attaccare un’infrastruttura critica e causare un blackout con scene alla Matrix è forse improbabile, ma accedere al sistema da remoto e bloccarlo non lo è. Ad esempio il furto d’identità o di credenziali bancarie avvicinando una sorta di scanner NFC al portafoglio della vittima appare fantascientifico, ma la realtà è ben diversa: basti pensare che in America alcuni furti d’identità avvengono leggendo le informazioni dai passaporti.

Noi abbiamo trovato i talk poco specifici e tecnici, considerando anche che alcuni elementi trattati non erano nuovi: ma d’altra parte lo scopo era di sensibilizzare la platea sui rischi attuali.

L’evento ha sicuramente riscosso un buon successo e a giudicare dalle domande effettuate dal pubblico la difficoltà degli argomenti trattati è stata bilanciata, considerando la presenza di personale tecnico e non, permettendo così la comprensione degli argomenti a tutti.

Vogliamo sottolineare come l’idea e l’organizzazione di un solo cittadino appassionato, Mario Anglani, abbia portato grandi esperti del settore a
confrontarsi con il pubblico e a realizzare quello che è stato HackInBo.

Riteniamo che come evento abbia tutte le carte in regola per “sfondare” e non mancheremo a un evento divenuto di fatto rilevante sul nostro territorio.

di VoidSec e kalup