�ݺ�ߣ

Se il bit diventa
Strategia:
Tra Cybercrime,
Cyberwar e
Battlefield Forensics
Sestri Levante 16-17 Maggio 2013
Sensitive Site
Eploitation
Evidence
Intelligence
Antagonismo
Attivismo
Cybercrime
Terrorismo
Information
warfare
Cyberwarfare

battlefield
forensic 2 maggio 2011
I Navy Seal irrompono nel compound di Osama bin Laden ad
Abbotabad (Pakistan).
L'obiettivo primario viene ucciso nell'azione.
I soldati si attardano per circa 40 minuti sul luogo dell'azione
recuperando, computer, memory
stick e documenti.
Alla ribalta delle cronache!

battlefield
forensic
News ??
● Quanto avvenuto rappresenta una novità?
● E' la prima volta che i militari dedicano questa
attenzione ai media digitali?
● Quale utilizzo verrà fatto (o potrebbe essere fatto) delle
informazioni raccolte?
● Quali sono le procedure ed i protocolli adottati per
raccogliere le “evidence” ?

La società moderna basa sempre più le comunicazione e la
conservazione delle informazioni su canali e dispositivi digitali:
● posta elettronica;
● sms:
● pagine web:
● chat;
● social network;
● computer;
● server;
● memorie di massa (hard disk,
drive usb, memorie SD)
● fotocamere e videocamere digitali;
● telefoni cellulari;
● smartphone e Tablet
battlefield
forensic

battlefield
forensic
I teatri di guerra, le aree di conflitto, non si differenziano dal
resto del mondo.
SEBBENE diffusione della tecnologia sia frenata da:
● cultura;
● arretratezza;
● tribalismo;
● dettami sociali e/o religiosi;
GLI INSURGENTS
Apprezzano vantaggio offerto
dalla tecnologia per:
● comunicazioni;
● logistica;
● balistica;
● Intelligence;
● propaganda;

battlefield
forensic
Le forze sul terreno hanno la necessità di comunicare, con
continuità, con le strutture di comando e tra loro:
● ordini;
● report;
● richieste logistiche;
● richieste di intervento (assetti specialistici, counter ED, 3a
dimensione, genio, ecc...);

battlefield
forensic Il dialogo con i media e
con le masse avviene
attraverso video e
fotografie elaborati
digitalmente, diffusi
attraverso web, email,
chat.
I dispositivi digitali si prestano
alla realizzazione di IED
controllabili a distanza.

battlefield
forensic
Tuttavia le forze irregolari potrebbero:
● avere un addestramento incompleto ed esser prive del
concetto di riserbo e riservatezza, causando una perdita
informativa (abbandono foto, documenti, memorie di massa,
filmati per documentare/rivendicare azioni terroristiche), o
utilizzino impropriamente social network, posta elettronica,
cellulari, radio non criptate, ecc..

battlefield
forensic
La Battlefield Forensic è volta a stabilire i fatti verificatisi sul
campo di battaglia rispondendo alle “five W”
chi, cosa, dove, quando, perchè
(Who, what, where, when, why)
Fornisce elementi di informazione all'intelligence operativa
● influenzando lo svolgimento delle operazioni sul campo
consentendo azioni di contrasto;
● consente di motivare azioni e reazioni (rispetto ROE, CAVEAT);
● permette di indagare gli autori di crimini contro l'umanità.
È necessaria ?
BATTLEFIELD Forensics

battlefield
forensic
Intelligence & Operazioni
Organi livello
superiore
elaborazione
Attività sul
Terreno Nuove
Informazioni
Acquisite da
assetti
intelligenge
S2/G2
valutazione
Reparti
schierati
Modifica
pianificazione
delle attività

battlefield
forensic Nell'era digitale, l'analisi dei media digitali usati, dei dati in essi
contenuti, consente di ricostruire:
● eventi;
● contatti;
● collegamenti;
● vie di approvvigionamento (soldi, equipaggiamenti, uomini,
ecc..);
ricostruendo il network criminale/terroristico/avversario
NETWORK Tracking & REBUILDING

QUALI INFORMAZIONI POSSIAMO
trovARE nei dispositivi digitali?
Evidence Info diretta Info derivata formato
Documenti Progetti, organigrammi, liste,
procedure
Dipendente dall'attività investigativa e di analisi Doc, odt, rtf, txt, pdf
Immagini Schemi, progetti, fotografie,
scansioni
Identificazione luoghi e soggetti, correlazione tra luoghi e soggetti,
correlazioni temporali, individuazione possibili target
Tutti i formati grafici (jpg, png,
jiff, tiff, ecc...)
Video Eventi, dialoghi Identificazione luoghi, persone, correlazione evento, istante temporale, luogo,
soggetti coinvolti, individuazione possibili target e progetti
Tutti i formati video (3gp, avi,
flv, mp4v, DivX, ecc...)
Audio dialoghi Dipendente dall'attività investigativa e di analisi Tutti i formati audio (mp1/2/3,
wav, wma, ecc..)
Cronologia e cache
Internet Browser
Navigazione internet Correlazione account social network/posta con soggetti, identificazione
risorse informative, vie di comunicazione, supporters, individuazione possibili
target, username/password
Sqlite, index.dat, cache
Data base posta
elettronica
corrispondenza Correlazione account posta con soggetti, contenuti propri
corrispondenza,username/password, indirizzi ip
eml, pst, dbx, mbox
Chat Dialoghi/corrispondenza Correlazione account posta con soggetti,dipendente dall'attività investigativa
e di analisi
proprietari
SMS Dialoghi/corrispondenza Numeri telefonia mobile, dipendente dall'attività investigativa e di analisi
Rubrica contatti Contatti Correlazione numeri telefono/inidirizzi mail con nomi/nickname
Liste chiamate Chiamate entrata/uscita Correlazioni tra numeri telefono/contatti/chiamate
GPS/GoogleMaps Posizioni geografiche Correlazioni geografico/temporali, individuazione depositi, sedi, rifugi
battlefield
forensic

QUALE puq' essere l'utilita'
Di queste informazioni?
battlefield
forensic
Conoscere, attraverso
l'analisi dei media digitali
del sospetto (prigioniero,
collaborazionista, ecc...) il
suo orientamento politico,
religioso, sessuale, la sua
situazione famigliare,
economica, sentimentale,
può rivelarsi utile in fase
di “intervista” per
motivarlo ad assumere
atteggiamenti di maggior
collaborazione?

battlefield
forensic
Acquisizione evidence digitali
Quali Limiti ?
Dovuti a specificità
● dell'ambiente in cui si opera (naturale, condi meteo,
stagione presenza/contatto con il nemico);
● dei task da svolgere;
● della tipologia di movimento e dei mezzi
di movimento ;
● dell'equipaggiamento;

battlefield
forensic
Esempio 1Colpo di mano:
● infiltrazione in territorio ostile via elicottero;
● bivacco.;
● attivazione OP;
● acquisizione OBJ;
● azione;
● esfiltrazione;
Operation Red Wing
(http://en.wikipedia.org/wiki/
Operation_Red_Wing)
“No Easy Day” Mark Owen
& Kevin Maurer,
p.109-p.116
“Caduta Libera” di Nicolai
Lilin, ed. Einaudi, p. 190 e
succ.

battlefield
forensic
Cordon & Search:
Sono operazioni svolte con impiego di forze diversificate e
numerose, con assetti specializzati alle diverse attività
Esempio 2
(cinturazione, ricerca e
bonifica, sorveglianza,
sicurezza, ecc..).
Pur non essendo
operazioni speciali sono
svolte in un ambiente
particolare” e comportano
un elevato livello di
rischio.

battlefield
forensic
Procedure OperativE
L'esigenza di codificare le
procedure operative e di intervento
nell'ambito della ricerca di
“evidence” digitali è chiaramente
percepita.
Le forze armate USA hanno
cercato di standardizzare
metodiche e procedure. La Joint
Special Operations University
(JSOU) nel 2009 pubblica:
“Information Warfare: Assuring
Digital Intelligence Collection” -
William G. Perry
http://www.globalsecurity.org/military/library/
report/2009/0907_jsou-paper-09-1.pdf

battlefield
forensic
Giugno 2010 - NAVAL
POSTGRADUATE SCHOOL
MONTEREY, CALIFORNIA
http://dodreports.com/pdf/ada524
701.pdf
Citando da: “STRATEGIC UTILIZATION OF NORWEGIAN SPECIAL
OPERATIONS FORCES” by Kjetil Mellingen
Quali operatori ?

battlefield
forensic
Quindi ?
Esperienze operative:
Quando, come,
dove sono state
reperite evidence
digitali ?
Tipologia
di missione ?
Problematiche
operative ?
Esigenze:
Intelligence, investigative,
legali
Problematiche tecniche:
in loco/azione
nell'analisi successiva
Evitabili a fronte di
operazioni differenti
Procedure,
metodiche, standard
operativi, best
practices

what's ?
Cyber attacks
GuErra di
informazione
terrorismo
Advanced persistent threat
Electronic warfare
Cyber crime
Computer Network
operation
Spionaggio
Infrastrutture critiche
Cyber
Warfare

Cyber
Warfare
Target !
Società globalizzata: industria, comunicazioni, commercio, ricerca,
servizi sociali, enti governativi, finanziari, strutture sanitarie,
infrastrutture energetiche... tutto
ON line
Le FFAA, FFPP, gli assetti d'intelligence, devono acquisire e mantenere
la superiorità, supremazia ed iniziativa d'azione in rete ai fini di tutelare
gli interessi e la sicurezza della nazione.
Conservare la libertà di movimento, azione in rete, la gestione dei
servizi essenziali (infrastrutture critiche), proteggendo interessi
nazionali in rete.

Cyber
Warfare
UN NUOVO DOMINIO
Una nuova dimensione
Dopo terra, aria, mare e spazio...
IL CYBERSPAZIO!
una nuova area di manovra per
le forze armate, di polizia e per gli
assetti dell' intelligence.
Non è guerra elettronica (EW):
● differente il mezzo da colpire;
● differenti gli strumenti;
non è guerra di informazione (pg.2 Air Force Doctrine Document
3-12, 15 July 2010):
● consente (come tutti gli altri domini) di fornire informazioni
● può essere parte dell' Information Warfare, come delle PSYOPS

Cyber
Warfare
Quali possibilita' ?
Computer Network Operation (CNO)
● attack: distruzione delle strutture di rete avversarie;
● defence: proteggere, monitorare, analizzare la propria rete per
riconoscere, individuare, rispondere ad attacchi, intrusione, ecc...;
● exploitation: accesso a dati avversari attraverso la violazione di
reti/sistemi avversari;
Prendere parte alle operazioni di guerra psicologica (PSYOPS)
agendo sulle informazioni fornite agli utenti della rete, pilotandone
opinioni, emozioni, orientamenti.
Possiamo dire che il Cyberspace è un sistema d'arma (operatore +
Strumento) che consente di perseguire OBJ altamente remunerativi
a costi inesistenti, essendo il mezzo (la rete) accessibile a chiunque,
ovunque, in tempo reale, permettendo a qualunque nazione,
movimento, individuo, uno sproporzionato incremento del fattore
efficacia.

Cyber
Warfare
Chi e' l'avversario ?
- Lone Hacker;
- Script Kids;
- Antagonisti, movimenti di protesta (Anonymous, LulzSec, .....)
- Industrie concorrenti;
- Terroristi;
- Paesi/blocchi contrapposti;
Cybercrime Hacktivismo Spy Ind. Cyberwararfare
A spot Protesta APT Strategia lungo
breve termine Evento termine
silenzioso rivendica silenzioso silenzioso

Cyber
Warfare
Qualcuno e' gia' pronto

Cyber
Warfare
Siamo Pronti ??
(AGENPARL) - Roma, 22 giu 2011 - 'Cybercooperation,
cyberwarfare and cybersecurity on the eve of 21st Century' è il titolo
della conferenza, organizzata dal Centro Studi Sviluppo Relazioni per
la sicurezza Tts presso Sala Capitolare del Senato della Repubblica.....
.... Interverranno: Jart Armin, analista Sigint esperto di cybercrime
presso la Fondazione CyberDefCon; Luisa Franchina, direttore della
Segreteria per le Infrastrutture critiche, Presidenza del Consiglio dei
Ministri; Raoul Chiesa, ethical hacker e esperto di sicurezza
informatica. ....
........ "L'Italia - spiega il senatore Esposito - è impreparata mentalmente
e strutturalmente ad affrontare gli attacchi informatici alle sue
infrastrutture digitali. Occorre al più presto una cabina di regia che
coordini, con il livello politico, la difesa informatica presso la Presidenza
del Consiglio, ispirata a qualche modello già adottato da altri stati
sensibili a questo problema. C'è anche un'altra carenza italiana: manca
un centro di raccolta dei dati sugli attacchi. L'Italia non può devolvere la
propria sovranità agli Usa o alla Nato".

Cyber
Warfare
Quali risorse umane?
Citando ancora “STRATEGIC
UTILIZATION OF NORWEGIAN
SPECIAL OPERATIONS
FORCES” by Kjetil Mellingen

Cyber
Warfare
ESEMPIO 1
1990 Iraq, Prima Guerra del Golfo:
● gli assetti EW della coalizione intercettano e disturbano le comunicazioni
radio;
● Le forze speciali sono inviate oltre le linee nemiche per tagliare i cavi delle
linee telefoniche;
<<Il vostro compito si divide in due parti>>, intervenne il capo.
<<Uno, localizzare e distruggere le linee telefoniche nell'area della strada
principale nord. Due, trovare e distruggere gli Scud.>>
Pattuglia Barvo Two Zero – p. 31 - Andy McNab – Longanesi & C
2008 Seconda guerra in Ossezia del Sud:
“The Russian invasion of Georgia was preceded by an intensive build up of
cyberattacks attempting to disrupt, deface and bring down critical Georgian
governmental and civilian online infrastructure. These attacks became a
massive assault on the eve of the invasion which resulted in the blocking,
re-routing of traffic and control being seized of various sections of Georgian
cyberspace.”
http://georgiaupdate.gov.ge/doc/10006922/
http://en.wikipedia.org/wiki/Cyberattacks_during_the_Russia%E2%80%93Georgia_war

Cyber
Warfare
ESEMPIO 2
Stuxnet: colpisce i sistemi Scada iraniani.
Virus – by Patric Clair http://vimeo.com/25118844

Cyber
Warfare
ESEMPIO 3
Giugno 2011:
Poderoso attacco di phishing contro centinaia di utenti Gmail, presi di
mira funzionari governativi USA, attivisti cinesi, personale militare e
giornalisti.
Google identifica l'origine dell'attacco in indirizzi IP cinesi.
La Cina glissa. Gli USA non reagiscono.
http://krebsonsecurity.com/2011/06/spotting-web-based-email-attacks/
Ma chi è il colpevole? Alcuni paesi minacciano di reagire a cyber
attacchi con operazioni militari
tradizionali.
Marcus Ranum: Dangerous Cyberwar Rhetoric
http://blog.iansresearch.net/2011/08/cyberwar-rhetoric-.html
Be Careful
When
Collecting
Evidence

Cyber
Warfare
ESEMPIO 4
Estate 2011 Operation Cupcake:
USA e UK pianificano separate operazioni
“Cyber Command chief Lt. General Keith Alexander argued the mag
was a danger to troops and in need of a takedown”
La Cia blocca l'operazione “argued that it would expose sources and
methods and disrupt an important source of intelligence”
...che viene compiuta
dall'MI6 britannico
http://www.telegraph.co.uk/news/u
knews/terrorism-in-the-uk/8553366
/MI6-attacks-al-Qaeda-in-Operatio
n-Cupcake.html

Cyber
Warfare
ESEMPIO 5
LulzSec Vs NATO e-book shop:

Cyber
Warfare
ESEMPIO 6
Antisec Vs Booz Allen Hamilton:
BASE64-ENCODED SHA HASH
echo -n PASSWORD | openssl dgst -sha1 -binary | openssl enc -base64

Cyber
Warfare
Conclusioni (ipotetiche)
ESEMPIO 5/6
Information gathering, profiling, furto di identità, invio malware e
phishing da mailbox trusted .......... e molto, molto altro !

Cyber
Warfare
A Noi non capita !!
● Firewall;
● Anti Virus Enterprise;
● Intrusion Detection System;
● Sonde;
● Sistemi operativi aggiornati;
● Ediscovery Systems;
● CERT;
● Presidi;
● Procedure codificate;
● Regolamenti;

Cyber
Warfare
ESEMPIO 7
24 Luglio 2011 - CNAIPIC:
Anonymous & LulzSec annunciano (poi smentiscono) di aver violato il CNAIPIC,
Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche,
acquisendo 8 GB di documenti di cui rilasciano una preview.
http://pastebin.com/r21cExeP
http://thehackernews.com/2011/07/cnaipic-italian-government-hacked-by.html
http://www.matteocavallini.com/2011/07/hanno-bucato-il-cnaipic.html

Cyber
Warfare
23 Ottobre 2012:
Il gruppo hacker/attivista Par:AnoIA
rilascia documenti sottratti alla Polizia di
Stato
http://www.par-anoia.net/releases2012.html
http://it.reuters.com/article/topNews/idITMIE89M019201210
23
ESEMPIO 8

Cyber
Warfare
L'Espresso pubblica “La Farnesina 'bucata' dagli hacker” 29 Aprile 2013
http://espresso.repubblica.it/dettaglio/la-farnesina-bucata-dagli-hacker/2205912
[cit]Solo ora il ministero si è accorto che i pirati del gruppo 'Par-anoia' hanno violato quasi due
anni fa il sistema informatico che gestisce i visti d'ingresso. Ignoti i danni, ma il problema è la
vulnerabilità dei siti di Stato
...Il primo obiettivo, colpito e probabilmente almeno per ora affondato, è il protocollo informatico
per il rilascio dei visti, un elaborato software progettato per conto del Ministero degli Affari esteri
e affidato alla polizia di stato.
Il sistema si chiama "I-Vis"e per la sua realizzazione la Farnesina ha sborsato quasi quattro
milioni di euro. Approvato nel 2001 e affidato con gara d'appalto, il protocollo da quel momento e
sino ad oggi è ancora in fase di "roll-out".
...Proprio a quel periodo, verso la fine del 2011, risale l'effrazione portata a termine dagli hacker
di "Par-anoia", che sono riusciti ad entrare nel sito della polizia italiana, presumibilmente
attraverso un indirizzo mail collegato al portale istituzionale.
Hanno catturato il messaggio di posta elettronica con cui il gruppo di aziende che ha prodotto il
sistema si premurava di comunicare a tutte le sedi della polizia di frontiera del nostro paese i dati
con cui accedere a "I-Vis" e gestirne le autorizzazioni per il rilascio dei visti d'ingresso.
Buttata nel mare magnum della Rete, quella mail datata 28 ottobre 2011, non solo consente di
navigare nel portale I-Vis con le autorizzazioni, i codici e le procedure per accedere ai visti
d'ingresso, ma fornisce in chiaro gli account di posta elettronica di oltre 350 agenti di polizia
italiana - proprio quelli impegnati nel settore di frontiera- i numeri di telefono di alcuni funzionari
e progettisti. [/cit]
E
S
E
M
P
I
O
9

Cyber
Warfare
Le informazioni non erano, come scritto da L'Espresso, rilasciate nel
2011, ma nel dump ad opera di Anonymous/Par:AnoIA dell'Ottobre
2012 …
Non servivano costosi digital forensics e/o eDiscovery systems
Poteva bastare un comando unix...
$ grep ilR "password|passwd" *
... un differente approccio.

Cyber
Warfare
inteatro
operativo
DALl'uso strategico
ALL'uso TATTICo
● Mappare la rete avversaria
● Monitorarne le comunicazioni
● Seguirne i movimenti
● Fornire info ingannevoli
CIRCOSCRIVENDO
L'AREA
D'AZIONE

Cyber
Warfare
inteatro
operativo
poisoninG
Attività militari tradizionali:
● vigilanza/interdizione;
● ricognizione e monitoraggio;
volte ad isolare la parte avversa (istruisci, informi, coinvolgi, stimoli,
migliori le condizioni di vita, aggreghi la massa):
● PSYOPS (Operazioni Psicologiche);
● CIMIC (Cooperazione Civile Militare);
● PI (Pubblica informazioni)
Offrono le occasioni per immettere “sonde”
nel tessuto sociale, veicolandole verso la
struttura avversaria.

Cyber
Warfare
inteatro
operativo
Differenza dall'obj
In T.N.
L'attività investigativa su territorio nazionale richiede “l'acquisizione”
di uno specifico obj, da profilarsi per “attagliare” approccio, esca,
intrusione.
In zona di operazioni non è indispensabile “acquisire” l'obj
puntiforme, quanto arrivare a contatto con l'obiettivo, intendendo con
esso la rete, la struttura informatizzata avversaria, i suoi nodi
periferici per ricostruirla, mapparla, monitorarla.

“All hackers are ethical.
But their ethics might not always
match yours.”
- QUESTION TIME -

ABOUT ME
C.le 106° Cp. Mortai Btg.Alp.Saluzzo;
146° Corso AUC Smalp;
C.te pl.mortai Btg.Alp.Susa;
Gare Ptg. UNUCI;
151° Corso Allievi Agenti PdS;
1999-->2013 Polizia di Stato;
Ideazione e partecipazione a progetti Open Source
SFDumper, Caine Live-cd, CFItaly.
Attività di divulgazione, convegni e seminari.
Fondatore D3Lab (Phishing Monitoring & Fighting).
info@d3lab.net

�ݺ�ߣ

�ݺ�ߣ chivari 20130517

More Related Content

�ݺ�ߣ chivari 20130517