Smau Milano 2011 Stefano Fratepietro

BackTrack e Deft LinuxIntelligence, Security e Response

Blue Tea

mRed Team

Emanuele Gentili Stefano Fratepietro1

1lunedì 7 novembre 2011

2

Red Te

am

Emanuele Gentili

http://www.tigersecurity.ithttp://www.backtrack-linux.orghttp://www.exploit-db.com

Amministratore unico di Tiger Security S.r.l.

Offensive Security Certified Professional Trainer

Security Advisor per agenzie governative di intelligence e servizi

European Project Leader in BackTrack Linux - Penetration Test OS

http://www.emanuelegentili.euhttp://www.twitter.com/emgenthttp://it.linkedin.com/in/emanuelegentili

October, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro


http://www.tigersecurity.it


http://www.backtrack-linux.org


http://www.exploit-db.com

http://www.exploit-db.com

http://www.emanuelegentili.eu

http://www.emanuelegentili.eu

http://www.twitter.com/emgent

http://www.twitter.com/emgent

http://it.linkedin.com/in/emanuelegentili

http://it.linkedin.com/in/emanuelegentili

Blue Tea

m

3

Stefano Fratepietro

IT security specialist per il CSE (Consorzio Servizi Bancari)

DEFT Linux – Computer Forensic live cd project leader

Consulente di Computer Forensic per procure, forze dellʼordine e grandi aziende italiane‣ Buongiorno Vitaminic! ‣ Telecom Italia - Ghioni



Blue Tea

mRed Team

4


Obbiettivi Workshop‣ Dimostrare che la guerra digitale esiste e viene praticata giornalmente

‣ Dimostrare che c’e’ la necessità di proteggere le infrastrutture informatiche con personale competente e pro attivo

‣ Dimostrare che la Cina applica politiche aggressive nel cyber spazio

‣ Dimostrare che sono necessarie politiche di difesa e raccolta di informazioni


5

Red Te

am

BackTrack LinuxDistribuzione GNU/Linux Live installabile per attività di cyber intelligence e di Penetration Test.

Nasce nel 2006 come progetto indipendente

Oltre 600 tools per svolgere test di sicurezza edinvestigazione.

Rispetto delle Metodologie STANDARD internazionali PTES, OSSTMM, OWASP, OSINT.

Quasi sei milioni di download unici dalle nostre infrastrutture( 5,997,811 - 18 Ottobre 2011)

Oggi è sviluppata e gestita da due società del settore( Offensive Security e Tiger Security )

Utilizzata da agenzie di intelligence e reparti governativi della difesa.

www.backtrack-linux.orgOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro




6

Red Te

am

Obbiettivi del progetto

‣ Mettere a disposizione un sistema operativo completo e funzionale, pronto all’uso, per attività di Cyber Intelligence ed Intrusione Informatica

‣ Offrire formazione certificata unica nel suo genere



7

Red Te

am

Feedback Pubblici

“ Se avessi avuto Back|Track Linux qualche anno fa, mi avrebbe fatto risparmiare molto tempo.”Kevin D. Mitnick

“ Back|Track è la via più veloce per andare dal boot del sistema locale all’ accesso root del sistema che vuoi attaccare ”H.D. Moore

“ Back|Track è l’ arma utilizzata dai ninja hacker. ”Johnny Long

www.nsa.gov

Cyber Defense Exercise



http://www.nsa.gov

http://www.nsa.gov

8

Red Te

am

Un po di numeri...

‣ Core Team composto da 10 persone, appartenenti a società specializzate

‣ oltre 200 contributori stimati in tutto il mondo

‣ 5 gruppi di supporto localizzati

‣ Quasi sei milioni di download (Release 5 R1)

‣ Utilizzata in pianta stabile da almeno 7 equipe specializzate all’interno di agenzie governative e militari



9

Red Te

am

Principali Caratteristiche

‣ Inizialmente basata su Slax poi su Ubuntu, da oltre una release e’ completamente gestita ed ottimizzata solo ed esclusivamente dal core team

‣ Utilizza un sistema di pacchettizzazione proprio ingegnerizzato appositamente, mantenendo la compatibilità al formato .deb

‣ Include software proprietario di alto livello grazie a partnership con le più importanti aziende al mondo (a costo zero per l’utente)



10

Red Te

am

Architettura



11

Red Te

am

Documentazione Pubblica

‣ Disponibile nelle lingue: inglese, italiano, spagnolo, portoghese, tedesco e francese.

‣ Documentazione mirata al framework di attacco Metasploit rilasciata pubblicamente chiedendo donazioni in sostegno al progetto Hacker For Charity.



Blue Tea

m

12

D E F T

Acronimo di Digital Evidence & Forensic Toolkit

Nato nel 2005 in collaborazione con la cattedra del corso di Informatica Forense dell’Università

degli studi di Bologna

Dal 2007 diventa un progetto indipendente



Blue Tea

m

13

• Fornire una serie di soluzioni multi piattaforma per la risoluzione di problematiche di Computer Forensic e Incident Response

• Non si pone come concorrente ai tool enterprise come Encase, FTK e Xway Forensic

• Documentazione

Obiettivi del progetto



Blue Tea

m

14

Un po di numeri...

• Team composto da 6 persone, tutte italiane, di cui 3 in forza presso la GdF e la Polizia Postale

• 6 anni di esperienza maturata sul campo

• Più di 195.000 download solo nel 2010

• 1300 utenti facebook

• 650 utenti attivi nel forum



Blue Tea

m

15

software computerforensics per Linux

+

+

+software computer

forensics per Windows

Sistema Linux live che mantiene inalterato il

contenuto delle memorie di massa del sistema ospitante

Interfaccia grafica veloceed intuitiva per sistemiWindows ideale per

l’esecuzione di attività di pre analisi

DEFT come Forensic bag



Blue Tea

m

16

Principali caratteristiche

• Basato sul progetto Lubuntu

• 2.6.35 - usb 3 ready

• Sleuthkit 3.2 + Libewf

• Supporto per i Logic Volume Manager (LVM)

• Digital Forensic Framework

• Xplico 0.6



Blue Tea

m

17

Documentazione

• Attualmente disponibile in lingua inglese ed italiana

• Entro la fine del 2012 anche in Spagnolo, Portoghese e Cinese

• Una serie di how-to per eseguire le principali attività informatico forensi

• Man page di tutti gli applicativi



Blue Tea

m

18

Le fasi dello sviluppoSistema Linux di

partenza

Raccolta degli applicativi

Piattaforma di sviluppo Windows

Raccolta degli applicativi

Sviluppo applicativi e

bugfix

Test dei beta tester

Test dei beta tester

No

Si

Sviluppo GUI e bugfixBug?



19

Red Te

am

Cyber Intelligence

‣ Raccolta informazioni tramite fonti aperte

‣ Raccolta informazioni tramite fonti privilegiate

‣ Azioni di ingegneria sociale ed intercettazione per raccolta informazioni extra (email, social network, telefono)

‣ Correlazione delle informazioni per individuare possibili punti deboli per l’ accesso informatico non autorizzato



20

Red Te

am

Cyber Intelligence


Risultato di una possibile raccolta informazioni


21

Red Te

am

Intrusione Informatica


Tentativo di accesso ai sistemi informatici del target

‣ Verifica di vulnerabilità applicative su sistemi remoti pubblici o privati (Server, Reti Wifi, ecc.)

‣ Verifica di vulnerabilità applicative o password deboli su account privati (email, social network)

‣ Verifica di vulnerabilità su client del target (smartphone, laptop, sistemi casalinghi)

‣ Ricerca mirata o acquisto di “exploit” per sfruttare vulnerabilità su applicazioni utilizzate dal target

‣ Intrusione


22

Red Te

am





23

Red Te

am





24

Red Te

am




OLD SCHOOL HACKING

DO IT BY HAND


25

Red Te

am





26

Red Te

am





27

Red Te

am

Mantenimento Accesso


Installazione di backdoor nella macchina compromessa


Blue Tea

m

28

Forensic duplicatorfai da te...

1200€ 250€

Tableau TD1 Acer Aspire Revo



Blue Tea

m

29

Forensic duplicatorfai da te...

• Dhash - GUI e testuale, solo raw, calcolo multi hash

• Guymager - solo GUI, raw, encase e afflib, calcolo multi hash

• Dcfldd, dc3dd - solo testuale, solo raw, calcolo multi hash

• Dd rescue - solo testuale, solo raw



Blue Tea

m

30

IR pronto all’uso

• DEFT Extra

• Binari dei principali sistemi operativi Windows, Linux e OS X

• Nigilant32 - Winaudit

• Process eXPlorer - Rootkit Revealer

• Process Activity View - CurrProcess

• Ultra search



Blue Tea

m

31

Sistema compromessoCosa fare?

60%30%

10%

Non se ne accorge Formatta/Ripristina Esegue una analisi



Blue Tea

m

32

Reazione ad un incidente informatico



Blue Tea

m

33

Remotizzazione dei log

Windows Server 2008

Log management

Web server

Firewall

Client

Data base



Blue Tea

m

34

L’importanza dei log di sistema remotizzati

• In caso di cancellazione o alterazione dei log di sistema, si preserva una copia su un server remoto

• Confronto dei log remoti con quelli locali di ogni singolo sistema



Blue Tea

m

35

IR check listSistema in funzione

• Analisi dei log degli apparati di rete

• Dump di traffico per l’individuazione di attività malevoli in corso

• Individuazione dei sistemi coinvolti

• Utilizzo di tool su memoria esterna

• Memoria esterna di sola lettura

• Creazione di una time line degli eventi

• Controllo degli hash dei file di sistemaOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro


Blue Tea

m

36

IR check listSistema spento

• Analisi dei log degli apparati di rete

• Dump di traffico per l’individuazione di attività malevoli in corso

• Individuazione dei sistemi coinvolti

• Spegnere il sistema ed acquisirlo

• Analisi della memoria di massa in laboratorio

• Creazione di una time line degli eventi

• Controllo degli hash dei file di sistema



Blue Tea

m

37

Controllo degli hashdei file di interesse

Calcoliamo l’hash del file sperando di trovare qualcuno che abbia la stessa release e verificare?

http://www.nsrl.nist.gov

The National Software Reference Library (NSRL)

NO!





Blue Tea

m

38

Sophos anti rootkit

http://www.sophos.com/it-it/products/free-tools/sophos-anti-rootkit.aspxOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro


39

Red Te

am

Cyber Warfare


Ogni governo ha le proprie equipe specializzate


40

Red Te

am

Cyber Warfare


L’organizzazione cyber militare cinese


41

Red Te

am

Cyber Warfare



Pentagono: “Agli attacchi hacker potremmo rispondere con le bombe”

Dalla Cina vengono attaccati alcuni account gmail di alti funzionari e politici americani.

2 giugno 2011


42

Red Te

am

Cyber Warfare




43

Red Te

am

Cyber Warfare



23 Agosto 2011


Blue Tea

m

44

Formazione militareInformation Warfare

Joint special operation universityhttps://jsou.socom.mil/Pages/Default.aspx

https://jsou.socom.mil/Pages/2009JSOUPublications.aspx



https://jsou.socom.mil/Pages/Default.aspx

https://jsou.socom.mil/Pages/Default.aspx

Blue Tea

m

45

Computer ForensicIl caso Bin Laden



Blue Tea

m

46

Security e CF applicate al genio militare

Architetture Intel e Sparc

Utilizzo anche di tecnologie sperimentali



Blue Tea

m

47

Formazione Certificata

Offensive Security Certified Professional

Tiger Analyst Investigator

Tiger OSINT AnalystCyber Intelligence

Sicurezza Offensiva

Response e Forensics

www.tigersecurity.it

Red TeamOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro




Conclusioni Red Team

Red Te

am


‣ Tutti i sistemi sono Vulnerabili

‣ A problematiche “Umane” non esiste cura (ingegneria sociale)

‣ Un colosso con soldi in prima battuta può ottenere dalla rete tutto ciò che desidera


Conclusioni Blue Team

• Creazione di un piano di azione di IR che preveda le azioni da intraprendere in caso di incidente

• Personalizzazione dei toolkit in base alla propria infrastruttura

• Cristalizzazione delle evidence raccolte mediante le pratiche migliori della Computer Forensic

• Personale dedicato per l’attività, anche in outsourcing

Blue Tea

m



50Domande?



51

Grazie per lʼattenzione.

Stefano FratepietroEmanuele Gentili

e.gentili @ tigersecurity.itwww.tigersecurity.it

www.backtrack-linux.org

stefano @ periziainformatica.euwww.deftlinux.netsteve.deftlinux.net

Blue Tea

mRed TeamOctober, 19 2011 - SMAU 2011 Milano - BackTrack e Deft Linux: Intelligence, Security e Response - Emanuele Gentili - Stefano Fratepietro






http://www.deftlinux.net

http://www.deftlinux.net

http://steve.deftlinux.net

http://steve.deftlinux.net

Smau Milano 2011 Stefano Fratepietro

Technology

Transcript of Smau Milano 2011 Stefano Fratepietro