(In)security

Related
Facts
Paolo Giardini
Direttore Osservatorio Privacy e Sicurezza Informatica

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

Paolo 'Aspy' Giardini

Direttore OPSI Osservatorio privacy e sicurezza informatica,
membro staff backtrack italia, vice presidente gnu/lug Perugia.
AIPSI, AIP,
Clusit,
Giuristi Telematici, sikurezza.org,
privacydataprotection,
CCOS, ILS sono alcuni dei progetti,
associazioni e community ai quali partecipo o delle quali faccio
parte.
Maggiori info su:
http://www.solution.it la mia attivit professionale
http://blog.solution.it contributi in special modo su privacy e
open source
infine:
http://www.craccaaltesoro.it il sito di Cracca Al Tesoro, l'Hacking
Game che ho inventato :)
(...Toh! Forse sono un hacker?)

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

Facciamo chiarezza sul termine hacker

Molto spesso viene usato a sproposito
Meglio usare il temine cracker o criminale informatico

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

Curiosit

Conoscenze tecniche

Voglia di capire cosa c' sotto il cofano

Andare oltre

Molte delle scoperte e innovazioni (Internet...) sono dovute a

persone che possono essere definite hacker

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

Utente

ISP (internet service provider)

Server

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

Collegamento alla rete

Lutente si collega al gestore del servizio di accesso alla rete
tramite la linea telefonica dove stato sottoscritto un
abbonamento di accesso ad internet.
Grazie alle credenziali di accesso
USERNAME e PASSWORD lutente viene abilitato alla
navigazione web.
Il gestore di accesso alla rete fornisce al proprio cliente un
identificativo UNIVOCO chiamato indirizzo IP
La richiesta di accesso ed il relativo indirizzo IP e la durata
della connessione, verr registrata del gestore di
connettivit in un file chiamato FILE DI LOG

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

Collegamento ai servizi
Supponiamo che si debba effettuare un ricerca su motore google.it
Lutente apre il proprio browser web ( es. EXPLORER ) e digita lindirizzo del
sito
( 20/01/09 08:10:00)

indirizzo IP
80.21.40.180

Il server riceve la richiesta ed invia la pagina che offre il servizio di ricerca

Lutente digita nellapposita area di testo il contenuto della ricerca da
effettuare
( 20/01/09 08:10:03)
Il server elabora la richiesta e risponde in base al suo archivio con i risultati
che vengono inviati allutente
Lutente trova linformazione e clicca sulla risposta pi consona e si
trasferisce sul sito dove sono contenute le pagine web di interesse. ( 20/01/09
08:10:09)

Perugia, 27 ott 2012

Server
google.it

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

Esempio MSN Messenger

Lutente apre il proprio Messenger tramite
username e password accede al servizio di chat.

indirizzo IP
80.21.40.180

Il server riceve la richiesta se coincidono i

parametri di accesso attiva il servizio

Server
MSN

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

Esempio MSN Messenger

Il nostro indirizzo IP presente

ovunque ci presentiamo

Solo su richiesta dell Autorit

Giudiziaria si possono acquisire
queste informazioni
Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

Possiamo individuare due tipi di minacce

Minacce dirette al sistema (malware...)

Minacce dirette all'utente (phishing, diffusione informazioni)

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

10

Minacce al
sistema
Virus
Worm
Backdoor
Dialers
Spyware

Perugia, 27 ott 2012

Minacce
all'utente
Phishing
Spam
Furto indentit

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

11

Una delle principali attivit su Internet l'utilizzo

della posta elettronica.
Purtroppo questo servizio pu essere facilmente
sfruttato per tentativi di truffe, diffusione di virus
e quant'altro.
Ad esempio, falsificare il mittente di una mail
quanto di pi semplice possa esistere.
Una grossa mano ai bravi ragazzi la danno gli
utenti stessi tralasciando di applicare anche le pi
semplici misure di sicurezza.
Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

12

Da: lilian remoud [mailto:lilian_remoud97436798@go.com]

Oggetto: WINNING NOTIFICATION/FINAL AWARD!!! BANKGIRO LOTERIJ.NL,
No 21 EGGER-STRAAT 28089tn
AMSTERDAM/NETHERLANDS
FROM: THE PROMOTION DIRECTOR
RESULTS FOR THE SECOND CATEGORY DREW INTERNATIONAL PROMOTIONS DEPT. REF: YPL/4249859609/WX1
BATCH: GLV/91663/AK
ATTN;WINNER, RE:WINNING NOTIFICATION/FINAL AWARD:
We are pleased to inform you of the release, of the long awaited results of the BANKGIRO LOTERIJ.NL,
/INTERNATIONAL PROMOTION PROGRAMES NL held on 31 th of JULY 2005.
Reference Number: YPL/4249859609/WX1,and Batch number BATCH: GLV/91663/AK.
Your email address attached to the ticket number: TK/469\365\9BV that drew the lucky winning number,
which consequently won the loterij in the second category in four parts.
You have been approved for a payment of 500,000.00Euros(FIVE HUNDRED THOUSAND EUROS.)
in cash credited to file reference number:IPL/4249859609/WP1.This is from a total cash prize of
FIVE MILLION EUROS Shared among the ten international winners in second categories.
Congratulations!!!
....
NOTE: All winnings must be notarized to complete the claim process; winners will be referred to a Foreign
Transfer Manager
,to have their winnings notarized. Winners are to cover the legal charges not BANKGIRO LOTERIJ.NL,
Please note in order to avoid unnecessary delays and complications please remember to quote your reference number
and batch
numbers in all correspondence.
They are your agent, and responsible for the processing and transfer of your winnings fund to you.
YOUR SECURITY FILE NUMBER IS W-91237-H1-67/B4 (keep personal) Remember, your winning must be claimed not
later than
(27-08-05)After this date, funds might be returned to the unclaimed. Furthermore, should there be any change in your
address,
do inform your claims agent as soon as possible.

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

13

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

14

Indirizzo mittente
sospetto
impersonale

C' un link da cliccare!

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

15

Il testo in chiaro della mail

Egregio utente,
Il reparto sicurezza della nostra banca le notifica che sono state prese
misure per accrescere il livello di sicurezza dell'online banking, in
relazione ai frequenti tentativi di accedere illegalmente ai conti bancari.
Per ottenere l'accesso alla versione pi sicura dell'area clienti
preghiamo di dare la sua autorizzazione.
Fare click qui per andare alla pagina dell'autorizzazione
<http://unicreditimpresa-it.com:8081/nb/it/index.htm>
La preghiamo di trattare le nuove misure di sicurezza con la massima
seriet e di esaminarle bene immediatamente.
Distinti saluti,
Il reparto sicurezza

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

16

domain:
unicreditimpresa-it.com
origin-c:
JOCO-932943
owner:
Daniel Gregusik
organization: Gregusik
email:
daniel_gregusik@presidency.com
address:
331 wintercreek cir
city:
wadsworth
state:
OH
postal-code: 44281
country:
US
phone:
617-495-2768
fax:
617-495-2768
admin-c:
daniel_gregusik@presidency.com#0
tech-c:
daniel_gregusik@presidency.com#0
billing-c: daniel_gregusik@presidency.com#0
nserver:
ns1.spvng.com 83.18.47.222
nserver:
ns2.spvng.net 83.18.0.6
status:
hold,unpaid
created:
2005-11-01 13:39:39 UTC
modified:
2006-01-16 14:38:13 UTC
expires:
2006-11-01 08:39:39 UTC
contact-hdl: daniel_gregusik@presidency.com#0
person:
Daniel Gregusik
organization: Gregusik
email:
daniel_gregusik@presidency.com
address:
331 wintercreek cir
city:
wadsworth
state:
OH
postal-code: 44281
country:
US
phone:
617-495-2768

Perugia, 27 ott 2012

Controlliamo il
dominio con whois
Risulta registrato in
Ohio!

E la data di
registrazione...

Corrisponde alla
data della mail!

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

17

NOTA:

vengono inseriti nelle mail

dei link ad immagini poste su server.
Scaricando l'immagine confermiamo la
lettura della
mail e che quindi l'indirizzo valido!
Inoltre alcune immagini possono
contenere Malware.

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

18

Non usate html

Non mettete pi destinatari su A: o TO: (usate ccn o bcc)

Non cliccate su ogni link ricevuto!

Guardate il testo in chiaro

Usate un programma di posta che riconosca spam e

phishing
Antivirus aggiornato!

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

19

fin troppo facile redirezionare la navigazione verso un altro

sito
I link possono essere camuffati
A vostra insaputa possono essere installati programmi
malevoli sul vostro computer
possibile analizzare il vostro computer tramite una pagina
web

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

20

Vediamo quali siti sono stati visitati...

http://browserspy.dk/css-exploit.php

Un semplice esempio pratico di URL camuffata:

<a
href="http://www.cartabcc.it.wps-portal.us/titolari">
www.cartabcc.it</a>
http://www.navigaresicuri.it/news/TEST/test-browser/testbrowser.php
http://www.navigaresicuri.it/news/viewart.php?idart=217#

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

21

Non cliccate sui link senza un minimo di attenzione (pagine

web, facebook, ecc.)
Verificate che i siti di banche ecc. siano protetti tramite un
canale crittografato (lucchetto)
Antivirus e firewall attivi

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

22

Bello, forse utile, ma...

Attenti alle amicizie!

E a cosa scrivete, perch rimane!

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

23

La storia di Marc...

http://www.le-tigre.net/Marc-L.html
http://www.le-tigre.net/Numero-28.html#page_37

Internet archive

http://wwww.archive.org

La cache di google

I social networks, i forum, le raccolte di foto...

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

24

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

25

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

26

DEFT Linux http://www.deftlinux.net/

Caine http://www.caine-live.net/

BackTrack http://www.backtrack-linux.org/

Backbox http://www.backbox.org/

Cracca al Tesoro http://www.wardriving.it

Perugia, 27 ott 2012

GNU/Linux User Group Perugia www.perugiagnulug.org

Paolo Giardini, (In)security related facts

27