Smau Milano 2011 Gentili-Fratepietro backtrack

BackTrack e Deft LinuxIntelligence, Security e Response

Blue Tea

mRed Team

Emanuele Gentili Stefano Fratepietro1

sabato 30 giugno 12

2

Red Te

am

Emanuele Gentili

http://www.tigersecurity.ithttp://www.backtrack-linux.orghttp://www.exploit-db.com

Amministratore unico di Tiger Security S.r.l.

Offensive Security Certified Professional Trainer

Security and Cyber Intelligence Advisor

European Project Leader in BackTrack Linux - Penetration Test OS

http://www.emanuelegentili.euhttp://www.twitter.com/emgenthttp://it.linkedin.com/in/emanuelegentili

October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro

sabato 30 giugno 12

http://www.tigersecurity.it


http://www.backtrack-linux.org


http://www.exploit-db.com

http://www.exploit-db.com

http://www.emanuelegentili.eu

http://www.emanuelegentili.eu

http://www.twitter.com/emgent

http://www.twitter.com/emgent

http://it.linkedin.com/in/emanuelegentili

http://it.linkedin.com/in/emanuelegentili

Blue Tea

m

3

Stefano Fratepietro

IT security specialist per il CSE (Consorzio Servizi Bancari)

DEFT Linux – Computer Forensic live cd project leader

Consulente di Computer Forensic per procure, forze dell’ordine e grandi aziende italiane‣ Buongiorno Vitaminic! ‣ Telecom Italia -‐ Ghioni


sabato 30 giugno 12

Blue Tea

mRed Team

4


Obbiettivi Workshop‣ Dimostrare che la guerra digitale esiste e viene praticata giornalmente

‣ Dimostrare che c’e’ la necessità di proteggere le infrastrutture informatiche con personale competente e pro attivo

‣ Dimostrare che la Cina applica politiche aggressive nel cyber spazio

‣ Dimostrare che sono necessarie politiche di difesa e raccolta di informazioni

sabato 30 giugno 12

5

Red Te

am

BackTrack LinuxDistribuzione GNU/Linux Live installabile per attività di cyber intelligence e di Penetration Test.

Nasce nel 2006 come progetto indipendente

Oltre 600 tools per svolgere test di sicurezza edinvestigazione.

Rispetto delle Metodologie STANDARD internazionali PTES, OSSTMM, OWASP, OSINT.

Quasi sei milioni di download unici dalle nostre infrastrutture( 5,997,811 - 18 Ottobre 2011)

Oggi è sviluppata e gestita da due società del settore( Offensive Security e Tiger Security )

Utilizzata da agenzie di intelligence e reparti governativi della difesa.

www.backtrack-linux.orgOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro

sabato 30 giugno 12



6

Red Te

am

Obbiettivi del progetto

‣ Mettere a disposizione un sistema operativo completo e funzionale, pronto all’uso, per attività di Cyber Intelligence ed Intrusione Informatica

‣ Offrire formazione certificata unica nel suo genere


sabato 30 giugno 12

7

Red Te

am

Feedback Pubblici

“ Se avessi avuto Back|Track Linux qualche anno fa, mi avrebbe fatto risparmiare molto tempo.”Kevin D. Mitnick

“ Back|Track è la via più veloce per andare dal boot del sistema locale all’ accesso root del sistema che vuoi attaccare ”H.D. Moore

“ Back|Track è l’ arma utilizzata dai ninja hacker. ”Johnny Long

www.nsa.gov

Cyber Defense Exercise


sabato 30 giugno 12

http://www.nsa.gov

http://www.nsa.gov

8

Red Te

am

Un po di numeri...

‣ Core Team composto da 10 persone, appartenenti a società specializzate

‣ oltre 200 contributori stimati in tutto il mondo

‣ 5 gruppi di supporto localizzati

‣ Quasi sei milioni di download (Release 5 R1)

‣ Utilizzata in pianta stabile da almeno 7 equipe specializzate all’interno di agenzie governative e militari


sabato 30 giugno 12

9

Red Te

am

Principali Caratteristiche

‣ Inizialmente basata su Slax poi su Ubuntu, da oltre una release e’ completamente gestita ed ottimizzata solo ed esclusivamente dal core team

‣ Utilizza un sistema di pacchettizzazione proprio ingegnerizzato appositamente, mantenendo la compatibilità al formato .deb

‣ Include software proprietario di alto livello grazie a partnership con le più importanti aziende al mondo (a costo zero per l’utente)


sabato 30 giugno 12

10

Red Te

am

Architettura


sabato 30 giugno 12

11

Red Te

am

Documentazione Pubblica

‣ Disponibile nelle lingue: inglese, italiano, spagnolo, portoghese, tedesco e francese.

‣ Documentazione mirata al framework di attacco Metasploit rilasciata pubblicamente chiedendo donazioni in sostegno al progetto Hacker For Charity.


sabato 30 giugno 12

Blue Tea

m

12

D E F T

Acronimo di Digital Evidence & Forensic Toolkit

Nato nel 2005 in collaborazione con la cattedra del corso di Informatica Forense dell’Università

degli studi di Bologna

Dal 2007 diventa un progetto indipendente


sabato 30 giugno 12

Blue Tea

m

13

• Fornire una serie di soluzioni multi piattaforma per la risoluzione di problematiche di Computer Forensic e Incident Response

• Non si pone come concorrente ai tool enterprise come Encase, FTK e Xway Forensic

• Documentazione

Obiettivi del progetto


sabato 30 giugno 12

Blue Tea

m

14

Un po di numeri...

• Team composto da 6 persone, tutte italiane, di cui 3 in forza presso la GdF e la Polizia Postale

• 6 anni di esperienza maturata sul campo

• Più di 195.000 download solo nel 2010

• 1300 utenti facebook

• 650 utenti attivi nel forum


sabato 30 giugno 12

Blue Tea

m

15

software computerforensics per Linux

+

+

+software computer

forensics per Windows

Sistema Linux live che mantiene inalterato il

contenuto delle memorie di massa del sistema ospitante

Interfaccia grafica veloceed intuitiva per sistemiWindows ideale per

l’esecuzione di attività di pre analisi

DEFT come Forensic bag


sabato 30 giugno 12

Blue Tea

m

16

Principali caratteristiche

• Basato sul progetto Lubuntu

• 2.6.35 - usb 3 ready

• Sleuthkit 3.2 + Libewf

• Supporto per i Logic Volume Manager (LVM)

• Digital Forensic Framework

• Xplico 0.6


sabato 30 giugno 12

Blue Tea

m

17

Documentazione

• Attualmente disponibile in lingua inglese ed italiana

• Entro la fine del 2012 anche in Spagnolo, Portoghese e Cinese

• Una serie di how-to per eseguire le principali attività informatico forensi

• Man page di tutti gli applicativi


sabato 30 giugno 12

Blue Tea

m

18

Le fasi dello sviluppoSistema Linux di

partenza

Raccolta degli applicativi

Piattaforma di sviluppo Windows

Raccolta degli applicativi

Sviluppo applicativi e

bugfix

Test dei beta tester

Test dei beta tester

No

Si

Sviluppo GUI e bugfixBug?


sabato 30 giugno 12

19

Red Te

am

Cyber Intelligence

‣ Raccolta informazioni tramite fonti aperte

‣ Raccolta informazioni tramite fonti privilegiate

‣ Azioni di ingegneria sociale ed intercettazione per raccolta informazioni extra (email, social network, telefono)

‣ Correlazione delle informazioni per individuare possibili punti deboli per l’ accesso informatico non autorizzato


sabato 30 giugno 12

20

Red Te

am

Cyber Intelligence


Risultato di una possibile raccolta informazioni

sabato 30 giugno 12

21

Red Te

am

Intrusione Informatica


Tentativo di accesso ai sistemi informatici del target

‣ Verifica di vulnerabilità applicative su sistemi remoti pubblici o privati (Server, Reti Wifi, ecc.)

‣ Verifica di vulnerabilità applicative o password deboli su account privati (email, social network)

‣ Verifica di vulnerabilità su client del target (smartphone, laptop, sistemi casalinghi)

‣ Ricerca mirata o acquisto di “exploit” per sfruttare vulnerabilità su applicazioni utilizzate dal target

‣ Intrusione

sabato 30 giugno 12

22

Red Te

am




sabato 30 giugno 12

23

Red Te

am




sabato 30 giugno 12

24

Red Te

am




OLD SCHOOL HACKING

DO IT BY HAND

sabato 30 giugno 12

25

Red Te

am




sabato 30 giugno 12

26

Red Te

am




sabato 30 giugno 12

27

Red Te

am

Mantenimento Accesso


Installazione di backdoor nella macchina compromessa

sabato 30 giugno 12

Blue Tea

m

28

Forensic duplicatorfai da te...

1200€ 250€

Tableau TD1 Acer Aspire Revo


sabato 30 giugno 12

Blue Tea

m

29

Forensic duplicatorfai da te...

• Dhash - GUI e testuale, solo raw, calcolo multi hash

• Guymager - solo GUI, raw, encase e afflib, calcolo multi hash

• Dcfldd, dc3dd - solo testuale, solo raw, calcolo multi hash

• Dd rescue - solo testuale, solo raw


sabato 30 giugno 12

Blue Tea

m

30

IR pronto all’uso

• DEFT Extra

• Binari dei principali sistemi operativi Windows, Linux e OS X

• Nigilant32 - Winaudit

• Process eXPlorer - Rootkit Revealer

• Process Activity View - CurrProcess

• Ultra search


sabato 30 giugno 12

Blue Tea

m

31

Sistema compromessoCosa fare?

60%30%

10%

Non se ne accorge Formatta/Ripristina Esegue una analisi


sabato 30 giugno 12

Blue Tea

m

32

Reazione ad un incidente informatico


sabato 30 giugno 12

Blue Tea

m

33

Remotizzazione dei log

Windows Server 2008

Log management

Web server

Firewall

Client

Data base


sabato 30 giugno 12

Blue Tea

m

34

L’importanza dei log di sistema remotizzati

• In caso di cancellazione o alterazione dei log di sistema, si preserva una copia su un server remoto

• Confronto dei log remoti con quelli locali di ogni singolo sistema


sabato 30 giugno 12

Blue Tea

m

35

IR check listSistema in funzione

• Analisi dei log degli apparati di rete

• Dump di traffico per l’individuazione di attività malevoli in corso

• Individuazione dei sistemi coinvolti

• Utilizzo di tool su memoria esterna

• Memoria esterna di sola lettura

• Creazione di una time line degli eventi

• Controllo degli hash dei file di sistemaOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro

sabato 30 giugno 12

Blue Tea

m

36

IR check listSistema spento

• Analisi dei log degli apparati di rete

• Dump di traffico per l’individuazione di attività malevoli in corso

• Individuazione dei sistemi coinvolti

• Spegnere il sistema ed acquisirlo

• Analisi della memoria di massa in laboratorio

• Creazione di una time line degli eventi

• Controllo degli hash dei file di sistema


sabato 30 giugno 12

Blue Tea

m

37

Controllo degli hashdei file di interesse

Calcoliamo l’hash del file sperando di trovare qualcuno che abbia la stessa release e verificare?

http://www.nsrl.nist.gov

The National Software Reference Library (NSRL)

NO!


sabato 30 giugno 12



Blue Tea

m

38

Sophos anti rootkit

http://www.sophos.com/it-it/products/free-tools/sophos-anti-rootkit.aspxOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro

sabato 30 giugno 12

39

Red Te

am

Cyber Warfare


Ogni governo ha le proprie equipe specializzate

sabato 30 giugno 12

40

Red Te

am

Cyber Warfare


L’organizzazione cyber militare cinese

sabato 30 giugno 12

41

Red Te

am

Cyber Warfare



Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe”

Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici americani.

2 giugno 2011

sabato 30 giugno 12

42

Red Te

am

Cyber Warfare



sabato 30 giugno 12

43

Red Te

am

Cyber Warfare



23 Agosto 2011

sabato 30 giugno 12

Blue Tea

m

44

Formazione militareInformation Warfare

Joint special operation universityhttps://jsou.socom.mil/Pages/Default.aspx

https://jsou.socom.mil/Pages/2009JSOUPublications.aspx


sabato 30 giugno 12

https://jsou.socom.mil/Pages/Default.aspx

https://jsou.socom.mil/Pages/Default.aspx

Blue Tea

m

45

Computer ForensicIl caso Bin Laden


sabato 30 giugno 12

Blue Tea

m

46

Security e CF applicate al genio militare

Architetture Intel e Sparc

Utilizzo anche di tecnologie sperimentali


sabato 30 giugno 12

Blue Tea

m

47

Formazione Certificata

Offensive Security Certified Professional

Tiger Analyst Investigator

Tiger OSINT AnalystCyber Intelligence

Sicurezza Offensiva

Response e Forensics

www.tigersecurity.it

Red TeamOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro

sabato 30 giugno 12



Conclusioni Red Team

Red Te

am


‣ Tutti i sistemi sono Vulnerabili

‣ A problematiche “Umane” non esiste cura (ingegneria sociale)

‣ Un colosso con soldi in prima battuta può ottenere dalla rete tutto ciò che desidera

sabato 30 giugno 12

Conclusioni Blue Team

• Creazione di un piano di azione di IR che preveda le azioni da intraprendere in caso di incidente

• Personalizzazione dei toolkit in base alla propria infrastruttura

• Cristalizzazione delle evidence raccolte mediante le pratiche migliori della Computer Forensic

• Personale dedicato per l’attività, anche in outsourcing

Blue Tea

m


sabato 30 giugno 12

50Domande?


sabato 30 giugno 12

51

Grazie per l’attenzione.

Stefano FratepietroEmanuele Gentili

e.gentili @ tigersecurity.itwww.tigersecurity.it

www.backtrack-linux.org

stefano @ periziainformatica.euwww.deftlinux.netsteve.deftlinux.net

Blue Tea

mRed TeamOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro

sabato 30 giugno 12





http://www.deftlinux.net

http://www.deftlinux.net

http://steve.deftlinux.net

http://steve.deftlinux.net

Smau Milano 2011 Gentili-Fratepietro backtrack

Technology

Transcript of Smau Milano 2011 Gentili-Fratepietro backtrack