Informazioni personali

Cerca nel blog

Translate

martedì 30 marzo 2010

Security for Dummies 002: l’ecosistema criminale

Se nel precedente post abbiamo descritto come sia cambiato il mondo delle reti informatiche negli ultimi anni, qui vedremo come sia cambiato di conseguenza l’ecosistema criminale, introducendo, di qua e di la, alcuni concetti cari alla security di oggi.

Perché lo fai

Innanzitutto capiamoci:

  1. il motivo per cui un criminale compie le sue azioni è per ottenere denaro.
  2. le azioni che il criminale compie sono orientate a:
    1. consentirgli il reperimento diretto del denaro
    2. consentirgli di creare l’ambiente adatto che poi gli permetterà di agire come al punto 2.1

per ottenere denaro i veicoli disponibili sono fondamentalmente:

  1. truffa, o assimilabile, con la vendita illecita di prodottiservizi o non rispondenti alle caratteristiche dichiarate, o senza pagare gli oneri dovuti allo stato, o col mancato invio del materiale acquistato
  2. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di prelevare direttamente denaro da questi o procurargli danno direttoindiretto
  3. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di rivendere tali informazioni a terzi
  4. Tentativo di blocco dei servizi della vittima al fine di procurare danno per conto terzi, coprire attività illecite concorrenti, estorcere denaro direttamente la vittima

Visti cosi gli attacchi informatici non differiscono molto dalle classiche attività criminali cui siamo più abituati: furto, truffa, pizzo; ritroviamo nel mondo informatico tutti gli elementi tipici di una normale attività criminale.
Questi obiettivi vengono perseguiti in diversi modi e diverse tecniche, alcune di tipo squisitamente informatico, altre con l’uso del media informatico come oggetto complementare (si pensi ad esempio al social engineering).
Finiti i tempi del romanticismo e dell’hacker come figura anarcoide o in cerca di pubblicità per colmare un ego smisurato, adesso siamo in un ambito industriale dove i numeri sono essenziali per giustificare le attività e dove le economie di scala sono essenziali.
la costruzione di un corretto ecosistema criminale quindi richiede la creazione di un meccanismo che consenta:

  1. perseguire gli obiettivi citati in precedenza al punto 2.1 sul maggior numero possibile di soggetti
  2. perseguire tali obiettivi evitando l’intervento delle strutture predisposte al controllo e alla imposizione delle leggi
  3. consentire una facile gestione dei flussi di denaro
  4. implementare, quando possibile, attività collaterali remunerative.

Dal punto di vista informatico tutto questo si è tradotto in trend specifici molto evidenti e chiari agli addetti al settore:
Utilizzare HTTP ed SMTP come media è molto remunerativo perché consente di raggiungere una enorme platea di potenziali vittime.
Utilizzare SMTP ed HTTP risulta comodo perché consente di evitare le più comuni difese perimetrali. I firewall infatti sono obbligati a far passare il traffico di porta 25 e 80443 pena il blocco di quei servizi a valore aggiunto di cui si portava nel post recedente.
Inoltre data la natura distribuita del traffico gestito da questi due protocolli risulta molto più difficile il backtracking per risalire al “mandante” delle operazioni.
L’utilizzo di tecniche “piramidali” e “peer to peer” in questo senso consente l’interposizione di layer di controllo che possono rendere virtualmente impossibile risalire all’esecutore primo della attività criminali in oggetto.
Le transazioni economiche generate sono piccole e distribuite quindi più facilmente mascherabili anche ad una analisi dei flussi finanziari.

Le basi

Come detto in precedenza la idea di base è la seguente:
Devo cercare di mandare informazioni o dati al maggior numero di utenti possibile per compiere le mie zioni illegittime.
Per fare questo posso usare 2 canali la posta elettronica ed il web browsing (web servicesweb server).

In principio era lo SPAM …

Per quello che concerne la posta il problema consiste, fondamentalmente, nel cercare di mandarne il più possibile al maggior numero di utenti. per fare ciò e per evitare che mi blocchino la sorgente di flusso devo cercare di mandare la posta dal maggior numero di sorgenti possibile.
Per fare questa operazione devo cercare di convertire il maggior numero di macchine possibile in “mail server di solo invio” , le macchine devono essere distribuite geograficamente e, ovviamente, non riconducibili a me in quanto a proprietà.
In altre parole devo usare della macchine di utenti ignari per poter fare questa operazione.
la mail può essere quindi utilizzata direttamente per:

  1. truffare il cliente in qualche modo
  2. sfruttare il fatto che sia in formato html per spingere il malcapitato ad accedere ad un falso web server
  3. sfruttare , java, flash, adobe services, attachment, vulnerabilità  o quant’altro nell’ html all’interno della mail per fare attività di deployment di oggetti software o dorettamente information gathering
  4. marketing

All’inizio la principale attività era il marketing, è questa la origine del famigerato SPAM.
La  linea di demarcazione tra il mass mailing legittimo (dalle mailing lists al mass marketing) allo spam e’ estremamente sottile, la stessa definizione di SPAM come UBE (Unsolicited Bulk Email) non rende chiara la sua definizione.
L’introduzione di regolamentazioni nazionali diverse hanno portato a definire come legittima la mail inviata solo su esplicita autorizzazione in caso di invio massivo, ma anche questo è non definibile a priori in maniera semplice, nel termine UBE infatti ricadono anche moltissime comunicazioni legittime. Si pensi ad esempio al fatto che tutte le mail sono, in origine, non sollecitate, considerando strettamente il termine UBE verrebbero considerati spam anche gli invii di auguri natalizi o pasquali.
Quello che è consistente con le attività criminali è il fatto che tali invii devono provenire da sorgenti non rintracciabili.
Ora dato che la sorgente IP di una transazione smtp è, in realtà, relativamente facile da rintracciare la idea di base è quella di effettuare gli invii da macchine insospettabili e tenere l’invio per brevi periodi di tempo (nell’ordine di poche decine di minuti) per poi far ritornare queste macchine silenti.
Lo SPAM come attività si è quindi evoluto in canale di diffusione di virus (doom, I love you e via dicendo), attività di information gathering o truffa (phishing, scam) e, quindi, in canale di diffusione di malware.
Per far questo la pagina html che contiene il messaggio spesso è linkata a web services, web server contraffatti o web server compromessi.

…ed adesso abbiamo il web

interfacciandoci al web abbiamo alcune caratteristiche interessanti nella creazione di un ecosistema criminale corretto: la possibilità di utilizzare diverse tecniche di contraffazione delle url mi permettono di mascherare gli indirizzi presentando un sito in guisa di un altro.
I protocolli che uso possono essere inseriti all’interno del flusso httphttps.
Posso sfruttare vulnerabilità indipendenti dal sistema operativo in uso ma legate ai browser più diffusi o ai servizi quali flash, adobe, java  e cosi via supportati da qualsiasi browser.
Anche in questo caso, associando magari ad azioni quali il dns poisoning o a protocolli masterslave o peer to peer, posso distribuire le mie risorse ovunque, su qualsiasi macchina ospite opportunamente compromessa in maniera trasparente all’utente. tanto ci pensa l;HTML a rappresentare il tutto poi come una pagina legittima e coerente.
esiste a questo punto un uovo di colombo che ha garantito la creazione di ecosistemi efficienti ed efficaci, la creazione del concetto di botnet.
Affronteremo questo oggetto misterioso nel prossimo post di “Security for Dummies 003: BOTNET”
ciao
A

Nessun commento:

Posta un commento