S E M E R P

A NO TOP SECRETS S
troppi Luoghi comuni Fantasia cinema

ld ie f ic le s tt n a re b o f

2 maggio 2011 I Navy Seal irrompono nel compound di Osama bin Laden ad Abbotabad (Pakistan). L'obiettivo primario viene ucciso nell'azione.

I soldati si attardano per circa 40 minuti sul luogo dell'azione recuperando, computer, memory stick e documenti.

ld ie f ic le s tt n a re b o f

Ne ws ?? 1- E' la prima volta che i militari

dedicano attenzione ai media digitali ? Alle evidence in generale ?

2- Qual' l'utilizzo che verr fatto delle informazioni ? 3- Quali sono le procedure ed i protocolli adottati per raccogliere le evidence ?

ld ie f ic le s tt n a re b o f

Nasce la Battlefiled Forensic, volta a stabilire i fatti verificatisi sul campo di battaglia. chi, cosa, dove, quando, perch (five W: Who, what, where, when, why)

necessaria ?

Fornisce elementi di informazione all'intelligence operativa - influenzando lo svolgimento delle operazioni sul campo; - consentendo azioni di contrasto; Consente di motivare azioni e reazioni (rispetto ROE, CAVEAT) Permette di indagare gli autori di crimini contro l'umanit.

ld ie f ic le s tt n a re b o f

ld Digital evidence ? ie ....where? f ic le s tt n a re b o f

-

Le forze sul terreno hanno la necessit di comunicare, con continuit, con le strutture di comando e tra loro: ordini; report; richieste logistiche; richieste di intervento (assetti specialistici, counter ED, 3a dimensione, genio, ecc...);

Senza scordare che forze irregolari potrebbero avere un addestramento incompleto ed esser prive del concetto di riserbo e riservatezza, causando una perdita informativa (abbandono foto, documenti, memorie di massa, filmati per documentare/rivendicare azioni terroristiche), o utilizzino impropriamente social network, posta elettronica, cellulari, radio non criptate, ecc..

ld ie f ic le s tt n a re b o f

Nell'era digitale, l'analisi dei media digitali

usati, dei dati in essi contenuti, consente di ricostruire: - eventi; - contatti; - collegamenti; - vie di approvvigionamento (soldi, equipaggiamenti, uomini, ecc..) ricostruendo il network criminale

ld ie f ic le s tt n a re b o f

Acquisizione evidence digitali Quali Limiti ?

Dovuti a specificit - dell'ambiente in cui si opera (naturale, condi meteo, stagione presenza/contatto con il nemico); - dei task da svolgere; - della tipologia di movimento e dei mezzi di movimento ; - dell'equipaggiamento;

ld ie f ic le s tt n a re b o f
Operation Red Wing (http://en.wikipedia.org/ wiki/Operation_Red_Wi ng) Caduta Libera di Nicolai Lilin, ed. Einaudi, p. 190 e succ.

Esempio 1

Colpo di mano: - infiltrazione in territorio ostile via elicottero; - bivacco.; - attivazione OP; - acquisizione OBJ; - azione; - esfiltrazione;

ld ie f ic le s tt n a re b o f

Esempio 2
Cordon & Search: Sono operazioni svolte con impiego di forze diversificate e numerose, con assetti specializzati alle diverse attivit (cinturazione, ricerca e bonifica, sorveglianza, sicurezza, ecc..)

Pur non essendo operazioni speciali sono svolte in un ambiente particolare e comportano un elevato livello di rischio. es. 2 luglio 1993 Mogadiscio: Operazione Canguro 11 Checkpoint Pasta.

ld Procedure operative ie f ic le s tt n a re b o f
L'esigenza di codificare le procedure operative e di intervento nell'ambito della ricerca di evidence digitali chiaramente percepita. Le forze armate USA hanno cercato di standardizzare metodiche e procedure. La Joint Special Operations University (JSOU) nel 2009 pubblica: Information Warfare: Assuring Digital Intelligence Collection - William G. Perry
http://www.globalsecurity.org/military/librar y/report/2009/0907_jsou-paper-09-1.pdf

ld QUALI OPERATORI ? ie f ic le s tt n a re b o f

STRATEGIC UTILIZATION OF NORWEGIAN SPECIAL OPERATIONS FORCES by Kjetil Mellingen

Giugno 2010 - NAVAL POSTGRADUATE SCHOOL MONTEREY, CALIFORNIA http://dodreports.com/pdf/ada5 24701.pdf

ld Quindi ? ie f ic le s tt n a re b o f
Problematiche tecniche: in loco/azione nell'analisi successiva Evitabili a fronte di operazioni differenti

Esigenze: Intelligence, investigative, legali

Esperienze operative: Quando, come, dove sono state reperite evidence digitali ? Tipologia di missione ? Problematiche operative ?

Procedure, metodiche, standard operativi, best practices

wha t's ? r e e b r y fa Spionaggio C r Cyber attacks a Computer Network W operation GuErra di

Cyber crime

informazione

Infrastrutture critiche

Electronic warfare
terrorismo
Advanced persistent threat

r e e b r y fa C r a W

T arget !
industria, commercio, enti governativi, sanitarie, energetiche

Societ globalizzata: comunicazioni, ricerca, servizi sociali, finanziari, strutture infrastrutture

on the net
Le FFAA, FFPP, gli assetti d'intelligence, devono acquisire e mantenere la superiorit, supremazia ed iniziativa d'azione in rete ai fini di tutelare gli interessi e la sicurezza della nazione. Conservare la libert di movimento, azione in rete, la gestione dei servizi essenziali (infrastrutture critiche), proteggendo interessi nazionali in rete.

r UN NUOVO DOMINIO e e b r y fa C r a W
Una nuov dimensione a
Dopo terra, aria, ..... il cyberspazio di manovra per di polizia e per intelligence. Non guerra elettronica (EW): - differente il mezzo da colpire: - differenti gli strumenti;

mare e spazio... una nuova area le forze armate, gli assetti dell'

non guerra di informazione (pg.2 Air Force Doctrine Document 3-12, 15 July 2010): - consente (come tutti gli altri domini) di fornire informazioni - pu essere parte dell' Information Warfare, come delle PSYOPS

r Quali possibilita' ? e e b r y fa C r a W
Computer Network Operation (CNO) - attack: distruzione delle strutture di rete avversarie; - defence: proteggere, monitorare, analizzare la propria rete per riconoscere, individuare, rispondere ad attacchi, intrusione, ecc...; - exploitation: accesso a dati avversari attraverso la violazione di reti/sistemi avversari; Prendere parte alle operazioni di guerra psicologica (PSYOPS) agendo sulle informazioni fornite agli utenti della rete, pilotandone opinioni, emozioni, orientamenti.

r e e b r y fa C r a W

in definitiv a

Dio cre gli uomini diversi. Il signor Colt li rese uguali. Possiamo dire che il Cyberspace un sistema d'arma (operatore + Strumento) che consente di perseguire OBJ altamente remunerativi a costi inesistenti, essendo il mezzo (la rete) accessibile a chiunque, ovunque, in tempo reale, permettendo a qualunque nazione, movimento, individuo, uno sproporzionato incremento del fattore efficacia.

r Chi e' l'avversario ? e e b r y fa C r a W

- Lone Hacker; - Script Kids; - Antagonisti, movimenti di protesta (Anonymous, LulzSec, .....) - Industrie concorrenti; - Terroristi; - Paesi/blocchi contrapposti; Hacktivismo Protesta Evento rivendica Spy Ind. APT Cybercrime A spot breve termine silenzioso Cyberwararfare Strategia lungo termine silenzioso

silenzioso

r e e b r y fa C r a W

ARE they READY ??

r e e b r y fa C r a W

ARE they READY ??

r e e b r y fa C r a W

ARE

WE

READY ??

(AGENPARL) - Roma, 22 giu - 'Cybercooperation, cyberwarfare and cybersecurity on the eve of 21st Century' il titolo della conferenza, organizzata dal Centro Studi Sviluppo Relazioni per la sicurezza Tts presso Sala Capitolare del Senato della Repubblica..... .... Interverranno: Jart Armin, analista Sigint esperto di cybercrime presso la Fondazione CyberDefCon; Luisa Franchina, direttore della Segreteria per le Infrastrutture critiche, Presidenza del Consiglio dei Ministri; Raoul Chiesa, ethical hacker e esperto di sicurezza informatica. .... ........ "L'Italia - spiega il senatore Esposito - impreparata mentalmente e strutturalmente ad affrontare gli attacchi informatici alle sue infrastrutture digitali. Occorre al pi presto una cabina di regia che coordini, con il livello politico, la difesa informatica presso la Presidenza del Consiglio, ispirata a qualche modello gi adottato da altri stati sensibili a questo problema. C' anche un'altra carenza italiana: manca un centro di raccolta dei dati sugli attacchi. L'Italia non pu devolvere la propria sovranit agli Usa o alla Nato".

r e e b r y fa C r a W

ARE

WE

READY ??

[http://www.matteocavallini.com/2011/01/gabriele-cicognani-il-tassello-mancante.html] Se lamministrazione della Difesa stata in grado di adeguare le proprie capacit di difesa cibernetica (ma non di attacco) in adesione alle direttrici disegnate in ambito NATO .....

Gabriele Cicognani - Il tassello mancante (19/01/2011)

Gabriele Cicognani, Maggiore della Guardia di Finanza in forza ai Reparti Speciali del Corpo, in posizione di comando presso DigitPA (gi Centro Nazionale per lInformatica nella Pubblica Amministrazione), dove responsabile del Computer Emergency Response Team del Sistema Pubblico di Connettivit (CERT-SPC).

r A chi lo faccio fare ? e e b r y fa C r a W

STRATEGIC UTILIZATION OF NORWEGIAN SPECIAL OPERATIONS FORCES by Kjetil Mellingen

r e e b r y fa C r a W
Virus by Patric Clair http://vimeo.co m/25118844

ESEMPIO 1

Stuxnet: colpisce i sistemi Scada iraniani. USA & Israele ??

r e e b r y fa C r a W

ESEMPIO 2

Giugno 2011: Poderoso attacco di phishing contro centinaia di utenti Gmail, presi di mira funzionari governativi USA, attivisti cinesi, personale militare e giornalisti. Google identifica l'origine dell'attacco in indirizzi IP cinesi.
La Cina glissa. Gli USA non reagiscono.
http://krebsonsecurity.com/2011/06/spotting-web-based-email-attacks/

Ma chi il colpevole? Alcuni paesi minacciano di reagire a cyber attacchi con operazioni militari Be Careful tradizionali. When
Marcus Ranum: Dangerous Cyberwar Rhetoric http://blog.iansresearch.net/2011/08/cyberwar-rhetoric-.html

Collecting Evidence

r ESEMPIO 3 e e b r y fa C r a W
Operation Cupcake: USA e UK pianificano separate operazioni Cyber Command chief Lt. General Keith Alexander argued the mag was a danger to troops and in need of a takedown La Cia blocca l'operazione argued that it would expose sources and methods and disrupt an important source of intelligence ...che viene compiuta dall'MI6 britannico
http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/8553366/MI6-attacks-al-Qaeda-inOperation-Cupcake.html

r ESEMPIO 4 e e b r y fa C r a W

LulzSec Vs NATO e-book shop:

r ESEMPIO 5 e e b r y fa C r a W

Antisec Vs Booz Allen Hamilton:

BASE64-ENCODED SHA HASH echo -n PASSWORD | openssl dgst -sha1 -binary | openssl enc -base64

r Conclusioni (ipotetiche) e e ESEMPIO 4/5 b r y fa C r a W

Information gathering, profiling, furto di identit, invio malware e phishing da mailbox trusted ......... .... e molto, molto altro !

r DALl'uso strategico e e b r ALL 'uso T TTICo A y fa C r a o W tr o

a tiv te a in er p o
- Mappare la rete avversaria - Monitorarne le comunicazioni - Seguirne i movimenti - Fornire info ingannevoli

CIRCOSCRIVENDO L'AREA D'AZIONE

r e e b r y fa C r a o W tr o
a tiv te a in er p o

poisoning

Attivit militari tradizionali: - vigilanza/interdizione; - ricognizione e monitoraggio; volte ad isolare la parte avversa (istruisci, informi, coinvolgi, stimoli, migliori le condizioni di vita, aggreghi la massa): - PSYOPS (Operazioni Psicologiche); - CIMIC (Cooperazione Civile Militare); - PI (Pubblica informazioni) Offrono le occasioni per immettere sonde nel tessuto sociale, veicolandole verso la struttura avversaria.

r Differenza dall'obj e e b r In T .N. y fa C r a o W tr o

a tiv te a in er p o
L'attivit investigativa su territorio nazionale richiede l'acquisizione di uno specifico obj, da profilarsi per attagliare approccio, esca, intrusione. In zona di operazioni non indispensabile acquisire l'obj puntiforme, quanto arrivare a contatto con l'obiettivo, intendendo con esso la rete, la struttura informatizzata avversaria, i suoi nodi periferici per ricostruirla, mapparla, monitorarla.

Grazie per l'attenzione

All hackers are ethical. But their ethics might not always match yours.