immagine-preview

Ott 1, 2018

ROMHACK: scenari reali di Attacco e Difesa

Spiegazioni corredate da dimostrazioni sul filo conduttore dell’attacco e difesa dei sistemi digitali, per insegnare, divulgare e condividere conoscenza, esperienza, prassi e tecniche: perche’ la difesa sia più efficace se si capisce la tecnica di attacco.

Troppo spesso si parla degli attacchi e della minaccia digitale ma non ci si sofferma su chi lavora per difendere e di quale tipo di conoscenza debba dotarsi per essere in grado di contrastare gli attacchi informatici e far restare al sicuro i sistemi digitali di aziende e isituzioni pubbliche e private. Questi addetti ai lavori, tecnici e specialisti devono continuamente aggiornarsi, studiare e provare operativamente tecniche informatiche basate sul codice e la programmazione. A loro sono dedicati alcuni eventi della community di security.

L’ultima in ordine temporale si e’ svolta alla Link campus University durante i Link cyber days 2018. ROMHACK alla sua prima edizione ha richiamato la community di sicurezza per iniziativa dell’associazione Cybersayan, nata per divulgare la cultura della sicurezza con un approccio pratico e pragmatico, mediante la diffusione di prassi e pratiche di sicurezza raccontate dal “campo pratica“ del day-by-day. Il tema della manifestazione come filo conduttore è stato quello dell’attacco e difesa in una prospettiva di team con un focus specifico su casi e scenari reali.

I talk hanno evidenziato tecniche di difesa e/o di attacco per condividere con gli astanti dei veri “how to” tratti dall’esperienza, dalle esigenze di lavoro o dalla conoscenza e passione per l’hacking, termine spesso associato agli attaccanti ma invece, distintivo di coloro che studiano e approfondiscono tecniche informatiche ai fini della diffusione di conoscenza, o per scopi di ricerca applicata sui sistemi digitali. Al termine della sessione pomeridiana una demo live e in real time di un attacco ad una PMI e delle diverse azioni possibili di difesa, ha permesso di capire e comprendere operativamente cosa accada a livello di codice e l’effetto sui sistemi coinvolti.

Un framework per indivduare gli attacchi

Massimo Bozza e Pietro Romano di YOOX Net-A-Porter Group, hanno presentato un approccio ibrido che utilizza la adversary simulation (tecnica di simulazione dell’avversario per studiarne capacità e metodi di attacco n.d.r.)  per fondere le capacità dei team di attacco a difesa (red e blue) e ottimizzare l’individuazione dei malware. Spesso chiamata anche purple teaming, la simulazione dell’avversario, si utilizza per incrementare e ottimizzare le capacità di detection (individuazione della minaccia n.d.r.) e di response (risposta alla minaccia n.d.r.), per capire se ci sono falle, ovvero blind spots, nella detection, per individuare Key Performance Indicator (KPI) necessari alla comprensione delle aree da migliorare ed allocarvi budget; ma soprattutto può servire da training  contro gli attacchi targetizzati (ovvero specifici ad un obiettivo n.d.r.) e per capire che la tecnologia da sola non risolve senza quel fattore umano senziente che analizza e a cui servono strumenti mirati. Per la realizzazione di un tool di questo tipo ci si deve domandare se si voglia simulare o emulare la minaccia.

Simulare significa essere meno accurati ma poter riutilizzare tool facilmente scalabili (che possono crescere in numero se le risorse da controllare aumentano), mentre l’emulazione che è più accurata, risulta però più costosa, anche se permette di scoprire attacchi di tipo nuovo. La soluzione proposta basata sul framework del MITRE att&ck (Adversarial Tactics Techniques and Common Knowledge n.d.r.) mappando ultime 5 fasi della catena di attacco (kill chain n.d.r.) con undici classificazioni differenti di tecniche note. L‘adversary simulation framework proposto si compone di tre moduli continuamente aggiornati e in continua evoluzione: la threat analysis, ovvero l’analisi delle minacce, la attack & kill chain simulation (la fase di simulazione della minaccia) e la detection (individuazione della minaccia). Nella Adversary Simulation è fondamentale il cambio di paradigma fra Indicatori di Compromissione, (usati per individuare le macchine compromesse), in favore degli Indicatori di Attacco, elementi cioè che contraddistinguono i diversi tipi di attacco (IoC vs IoA). La piattaforma basandosi sulla continua analisi effettuata dal modulo di threat analysis, correla IoC e IoA per dare valutazioni di pattern di attacco, ovvero per capire una sequenza di elementi che insieme  portano alla deduzione di essere sotto attaccato ed innalza un warning di notifica agli analisti e gruppi di difesa.

 

Tecniche di attacco e difese corrispondenti

Andrea Pierini IT architect & Security manager, ha parlato della escalation of privileges, ovvero di come si possa attaccare un sistema “elevando” i privilegi autorizzativi nei sistemi windows. L’escalation of privileges è una tecnica che sostanzialmente manipola a proprio favore i token e i privilegi autorizzativi solitamente assegnati ad ogni risorsa di sistema, per evitare i controlli di sicurezza e prendere il controllo di una macchina o più macchine e quindi avere “potere digitale” su quegli ambienti. Per ogni tipo di privilegio presente nel sistema Microsoft, è stato mostrato come attaccarlo ovvero farne un uso “distorto” finalizzato al controllo della macchina, dei suoi processi per accedere a tutto il set di dati di interesse, password comprese, per ogni finalità malevola possibile: furto di dati, di identità, diffusione malware, spionaggio, danneggiamento. Ai fini della difesa è stato mostrato anche come individuare ed effettuare un patching appropriato, ovvero come aggiornare il sistema mediante chiusura delle vulnerabilità sfruttate da questo tipo di attacco.

Ancora in tema di attacco, Sebastián Castro infosec Nerd e technical &research Lead in ACL lab, ha presentato un talk dedicato alla persistenza ovvero ha spiegato uno dei codici malevoli capaci di restare all’interno di un sistema infettato senza essere visibili dai difensori. l’attacco e’ noto con il nome di RID haijacking e permette all’attaccante di restare pressoché invisibile e non individuabile dai sistemi di detection (individuazione dei malware n.d.r.). La vulnerabilità su cui è basato, riguarda tutte le versioni di Windows e sfrutta alcuni problemi di sicurezza presenti nei processi di autenticazione ed autorizzazione del sistema operativo. L’attacco è basato sulla sostituzione della SID (Security IDentifier n.d.r.) di uno account utente, con quello dell’account dell’attaccante che ovviamente, cerca anche di assegnarsi privilegi di livello più alto per eseguire operazioni a proprio favore restando completamente invisibile perché nei log apparirà l’account dell’utente vittima.

Fattore umano come fulcro

Nonostante le tecnologie e le tecniche di difesa siano importanti, non si deve mai dimenticare come sia il fattore umano “il primo sistema su cui lavorare”. Claudio Canavese e Silvia Perfigli di Zanshin tech insegnano ai ragazzi adolescenti ed agli adulti, come diventare digital warrior, ovvero come sapersi difendere da cyberbullismo pedofilia o in generale violenza perpetrata a mezzo digitale, utilizzando principi ispirati alle arti marziali tradizionali orientali che solitamente, coniugano tecniche pratiche ad una autodisciplina personale e interiore. In particolare, viene insegnato come riconoscere le tecniche di attacco alla persona, ma nell’ambito digitale, riconducendole ad una quindicina di tecniche note e ad altrettante difese, basate su esercizi a difficoltà crescente per usare l’OSINT (Open Source Intelligence, ovvero la ricerca di informazioni da fonti aperte) a scopo difensivo. Ovviamente le tecniche insegnate potrebbero essere usate a fini malevoli, ma parallelamente il maestro insegna come evitare a cadere nel tranello, secondo livelli crescenti che sono conquistati dal discente se merita la fiducia del maestro per maturità e responsabilità. Infatti, il sistema di insegnamento di Zanshin Tech responsabilizza, sviluppa l’autodisciplina le potenziali vittime aiutandole a difendersi senza scatenare la vendetta dell’attaccante.

Ancora cruciale il fattore umano ma questa volta per fermare le botnet. Andrea Menin application security specialist, security software developer, nel suo intervento sulla “Human users detection” ha mostrato come intercettare e bloccare exploit ed i principali tool di scansione ed enumeration, cioe’ quelle minacce che spesso attaccano siti web,  utilizzando semplicemente Nginx,  un tool web server/reverse proxy leggero ad alte prestazioni e JavaScript, un linguaggio di scripting orientato agli oggetti e agli eventi, comunemente utilizzato nella programmazione Web.

Laboratorio attacco/difesa

A finale dimostrazione e in chiusura della giornata Giovanni Mellini (founder di CyberSayan e head  della sicurezza, rete e sistemi di ENAV) in veste di attaccante e  Davide Pala (cybersecurity specialist in Gesca) in veste di difensore, hanno mostrato uno scenario realistico di attacco ad una PMI comprensivo delle azioni di difesa da intraprendere. Nello scenario proposto l’obiettivo del team di attacco (red team) è stato mirato ad esfiltrare dati importanti per l’azienda mentre il team di difesa (blue team), avrebbe dovuto identificare, mitigare e bloccare l’attacco.  La simulazione, con esposizione del codice di exploit e dei comandi lato difesa, ha permesso di far capire ogni step dello scenario, per una “awareness esperienziale” se non hands-on per il singolo, sicuramente in live e real-time for all.

Approfondimenti

Per iscriversi alla associazione Cybersayan e per seguire le prossime iniziative è possibile visionare periodicamente il sito e le sue sezioni dedicate alla community e agli eventi.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter