vuoi
o PayPal
tutte le volte che vuoi
PHISHING
Attività molto complessa formata da:
- modalità tecniche molto sofisticate
- Sotterfugi tecnici (software e modalità con cui si trasmette)
- Inganno (parte sociale, non c’è tecnologia ma l’arte dell’inganno)
L’inganno è necessario per indurre l’utente a compiere operazioni innocue che non avrebbe mai
fatto se avesse capito la portata di quelle azioni.
Inganno
Aspetto organizzativo è far arrivare e-mail modificate e spingere le persone verso siti contraffatti
per ottenere le loro informazioni oppure con software che cifrano tutti i dischi fissi del computer e
poi si deve pagare per ricevere la chiave.
Crimeware: software disegnato per compromettere le risorse tecniche con cui viene a contatto.
Sotterfugi
La prima operazione è compromettere il pc modificando il DNS (domain name server) e richiamare
programmi che sono diversi e infetti rispetto ai soliti.
Modello ssl: meccanismo lucchetto verde (password condivisa per cifrare il traffico del sito)
Vulnerabilità del server: si manifesta nel momento in cui da servizi che non dovrebbe dare (utente
non autorizzato).
LEZIONE 6
Eder email: hanno un IP di provenienza, la email parte dal server indicato nell’IP
Send mail ha privilegi amministrativi del nucleo operativo, un attacco a send mail esegue un
comando che esubera dall’email ma crea una directory dei file (non importa il potere di mandare
email ma interessano i nuclei operativi).
X.509: standard dei certificati crittografici
Irc: prima rete internet relate chat, se ha tale servizio si è stati hackerata da una bit-net (ci si
collega alla bot-net e si risponde tramite bot-net ) effettuano operazioni da un server coperto.
Zeus: una della bot-net esistenti (30-50 mila macchine) si collegano al sistema di bot-net; è
apatogeno però i nostri server vengono usati per altri fini.
LEZIONE 7
MAN IN THE BROWSER ATTACK
Attacco di tipo “man in the middle” che compromette la struttura di navigazione del browser,
all’inizio funziona come un phishing, fa credere all’utente di essere su un sito che in realtà è stato
ricreato.
Questo inganno (social engeneering) spinge l’utente a fare piccole operazioni non troppo dannose
e banali ma che messe assieme consentono al malintenzionato una escalation nel prendere il
controllo, nell’indurre l’utente a fare qualcosa che, se l’utente sapesse la portata di tale cosa, non
la farebbe.
EUROGRABBER ATTACK
Mirava a infettare gli smartphone, deriva da una variante di Zeus, più famoso malware finanziario
(era un malware che creò molti danni economici e fu il primo a focalizzarsi solo sulle transazioni
finanziarie, e non a fare danni casuali).
Money mule: riciclaggio di soldi, cambiano soldi tramite conti correnti
Zeus viene smantellato e il suo ideatore ha preso i codici sorgente di Zeus e li ha distribuiti nel
dark web gratuitamente e tutti gli hacker hanno ottenuto il codice sorgente per capirne il
funzionamento.
I programmi sono di due tipi:
- codice sorgente (source code): vero linguaggio di programmazione ideato dal programmatore;
ci programma in vari linguaggi scrive le istruzioni ma per poterlo distribuire deve essere
compilato.
- compiler: trasforma il linguaggio sorgente, comprensibile al programmatore, in un linguaggio
macchina (esadecimale o binario) che si adatti ad ogni piattaforma (MAC, windows, linux).
Ciò che si trovava era Zeus compilato, senza istruzioni; in seguito alla pubblicazione delle sorgenti
chiunque poteva analizzare il codice sorgente e ha concesso varie modifiche a Zeus originale (i
programmi di bot-net e phiscing si basano su questo).
Il windows phone, che ora non esiste, non è mai stato attaccato perchè era circa il 2% di
smarthphone, 15% apple e 70% samsung.
Eurograbber nasce quindi come variante di Zeus, designato per aggirare l’autenticazione a due
fattori (codice della banca per accedere); viene mandato tramite sms che diceva di aggiornare un
sistema di sicurezza (6 o 7 anni fa la gente ci credeva e premeva sul link, il messaggio infatti
veniva visto con il nome di apple, Tim ecc). Non si scaricava un trojan ma si scaricava un Installer
che doveva capire che tipologia di telefono si era.
Fase 1: scaricare l’installatore in base al sistema operativo
Fase 2: furto vero dei soldi, facendo un sofisticato attacco si superava il doppio fattore di
autenticazione.
Si modificava la pagina e si scaricava il browser
Anatomia dell’attacco:
- sms di aggiornamento software di sicurezza
- L’aggiornamento inserisce nel telefono il “virus” (Zeus in the mobile: ZITMO)
- Zitmo era specifico per intercettare i codici dell’home banking e non si notava la sua presenza,
completamente asintomatico. Dopo essere state intercettate le informazioni venivano
depositate nelle dropzone (server utilizzati per immagazzinare le informazioni ricavate)
- Veniva fornito un link da scaricare e una volta completato il download eurograbber mandava
una notifica e veniva aperta una porta di comunicazione (Command Control Center) con un
server.
INFORMATION SECURITY
Government Accountability Ofiice
accountability: eliminazione dell’incertezza di chi ha compiuto una determinata azione.
È un ente federale, il governo ha creato un Audit generale che deve fare l’Audit a chi si occupa di
audit.
Il gao ha iniziato varie ispezioni di sicurezza informatica della SEC, notando che ci sono ancora
opportunità di controlli e sicurezza dei sistemi che controllano i mercati finanziari.
Gli aspetti della sicurezza sono aspetti presenti da qualsiasi parte e in qualsiasi banca, sono gli
aspetti più delicati dei grandi sistemi:
- separazione degli ambienti: sistema contabilità e sistema che registra le transazioni della borsa,
la segregazione degli ambienti di produzione (si producono dati e informazioni) è un elemento
molto delicato.
- Reti esterni e interne: gestione delle reti interne ed esterne
- Se un utente viene licenziato dalla sec, il sistema del personale rileva che ha cessato rapporti di
lavoro ma i sistemi non lo rimuovono immediatamente; la policy deve accertarsi subito che
anche i sitemi informativi devono eliminare l’account. Può essere un impiegato interno che con
il profilo del vecchio dipendente fa accessi non consentiti.
- La configurazione dei sistemi: si assicura che hardware e software siano configurati in modo da
abilitare determinate operazioni
- La commissione non ha separato correttamente le funzioni incompatibili, può riguardare i profili
dei dipendenti
- Si deve evitare che ci sia una persona sola ad essere in grado di controllare tutti i processi.
Tuto questo ha a che fare con la sicurezza informatica poichè la SEC non ha separato
correttamente i tre ambienti (finanza, contabilità, ecc) con i tre poteri.
LEZIONE 8
GAO vs Nasa
GAO vs IRS (agenzia delle entrate USA, servizio di incassi interni)
GAO vs FDIC (federal department )
Tutti i documenti trattano di sicurezza informatica.
GAO VS SEC
l’89% delle operazioni viene svolta con information tecnology, le più importanti sono le operazioni
di borsa dove si trattano informazioni molto sensibili.
La wide-area network è vista come una local-area network, ci sono una serie di server che sono
fisicamente in posti diversi ma in server connessi, attraverso la Virtual Private Network possono
avere una crittografia di tutte le informazioni che circolano sui server.
Il protocollo VPN stabilisce una crittografia asimmetrica (stessi protocolli di GPG con software
diverso) dei dati; come il TLS-SSN con un’unica chiave simmetrica condivisa. La VPN viene
installata con emissione di certificati in entrambi le parti e non si ha bisogno dello scambio di
chiavi pubbliche.
EDGAR/Fee Momentum: commissioni.
- Identificazione: dare la propria identità e giustificarla, provarla, confermarla
- Autenticazione: riguarda i sistemi, rispetto a chi sei tu cosa puoi fare sui sistemi; mi identifico e
ho un accesso al sistema con certe azioni disponibili.
Le possibilità di “bucare” il sito che ha un server di posta, per poter distribuire codici arbitrari, si
trova un problema di autenticazione:
- mettendo una stringa più lunga di 256 caratteri il sistema non controlla e scrive sul registro di
memoria non bloccato con i caratteri eccedenti il 256°
File permission: alcuni file possono essere visionati da alcuni utenti mentre altri no,
[PRIMO GAO REPORT SEC (2009-2010 CIRCA) E CONFRONTO LE VULNERABILITà TRA IL
]
PRIMO E L’ATTUALE
Audit trails: audit sequenziale
LEZIONE 9 ESEMPIO DI PHISHING
Per verificare se il sito è autentico su va sull’indirizzo “www.superflash.it" che se autentico
rimanda sul vero sito “Intesa San Paolo”.
Per verificare il dominio :”whois.com" dove si apre una pagina che verifica il domino che si
desidera verificare., nel nostro caso www.superflash.it" e da le informazioni principali delle sue
registrazioni e a chi appartiene.
In questo caso nonostante l’avviso di non aprire le email con i link, rimanda ad un link vero tramite
email, considerazioni: questa incoerenza della banca significa poca coerenza tra l’area marketing
e l’area sicurezza, inoltre la banca è responsabile perchè crea una situazione ingannevole e può
essere chiamata in causa. PROSPETTIVA DEL PHISHER
REINDIRIZZAMENTO AL SITO DI PHISHING
Una volta essere stati reindirizzati si inseriscono le proprie credenziali e poi si viene reindirizzati
nel sito ufficiale. Per verificare il sito si procede con uno scanning (si usa un programma che
verifica le porte del sito riservate al sistema, quando si apre una connessione ci si collega
attraverso una porta logica. La connessione lavora attraverso un canale radio/fisico ma da un
punto di vista logico apre molte porte ma è la gestione di internet ad aprirle, non il browser. La
navigazione avviene sulle porta da 80 a 85 ma si può aprire una porta x che gestisce il traffico
web.). Lo scanning va a verificare i servizi conosciuti che corrispondono alle porte aperte, prima
verificano che la porta sia aperta e poi a che servizio corrisponda.
smtps: simple mail transfert protocol tcp (transfert protocol
(come http) sono i protocolli del
system) ovvero un protocollo testuale.
In questo caso una porta successiva era aperta con l’smtp e si rileva un servizio vecchio e famoso
per essere ingannevole (sendmail 8.13.1) dove si nota che c’è del traffico internet.
ssl: protoccolo della crittografia asimmetrica, non è cifrata ma è al servizio del server https dove
c’è un traffico anche se non si sa di cosa.
Sendmail 8.13.1consente ad attacchi remoti di seguire codici arbitrari.
Codice http: fatto da testo (txt), qualsiasi cosa deve arrivare a livell
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
