trojan di stato
Post on 10-Apr-2017
110 Views
Preview:
TRANSCRIPT
"Trojan di Stato":
molte innovazioni,
molti problemi.
…AND WHAT COULD POSSIBLY GO WRONG ?
ESC2k16
2© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
whoamiAndrea Zapparoli Manzoni - Head of Cyber Security – "ACME, Inc"
Background in Scienze Politiche, Computer Science e (Ethical) Hacking
Membro Osservatorio per la Sicurezza Nazionale (OSN) 2012-2014
Board Advisor CSCSS – Center for Strategic Cyberspace + Security Science (UK)
Assintel: Consiglio Direttivo / Resp. GdL ICT Security
Clusit: Consiglio Direttivo e docente
Co-autore del Rapporto Clusit (2012, 2013, 2014, 2015, 2016…)
Co-autore del Framework Nazionale di Cyber Security (2016)
Co-autore di numerosi WP: Sicurezza Social, Frodi Online, FSN, ROSI, etc
More…
ESC2k16
3© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
I "trojan di stato" sono....Malware (con al contorno tutta l'infrastruttura del caso).
Secondo una definizione del DoD americano un TdS è un cyber attack:
Ovvero: un captatore informatico è sostanzialmente indistinguibile da un malware dedicato al
cyber espionage o, anche, al cyber crime di alto profilo. In effetti è un RAT, quindi non è una
"microspia". E' attivo. E' stealth. Ha il controllo del device infettato (in lettura e scrittura).
NB Normalmente i TdS sono prodotti da aziende private, soggette a livelli di oversight minimi.
ESC2k16
Un po' di contesto:
da dove nasce questastoria dei TdS ?
…AND WHAT COULD POSSIBLY GO WRONG ?
ESC2k16
5© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Storia Antica....
ESC2k16
6© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
10 anni dopo....
ESC2k16
7© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Oggi....
ESC2k16
8© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Oggi....
ESC2k16
9© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
La nuova normativa italiana....
http://www.lastampa.it/2016/06/22/italia/cronache/intercet
tazioni-con-i-trojan-di-stato-ecco-la-proposta-di-legge-
29lEUvO3VyOG6NCRDEKlMO/pagina.html
ESC2k16
…AND WHAT COULD POSSIBLY GO WRONG ?
Quindi oggi usare un RAT per spiare un indagato è OK, a certecondizioni. Qualipotrebbero essere le possibili conseguenzepratiche "sul campo" ?
ESC2k16
11© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
4 scenari spinosi "a caso"….
Problemi
Faccio una perizia per un cliente
Trovo un captatore sul mio
device
Faccio una perizia per la mia
azienda ACME, Inc.
Cercano di infettarmi e non ci
riescono perchè…
Trovo un Captatore sull'iPhone
dell'AD mentre faccio altro
Che faccio ? A chi lo dico ? Lo
rimuovo ? Lo lascio lì ? Lo
reverso e me lo studio ?
Mi accorgo di qualcosa, la
studio, chiamo gli amici in
soccorso, e scopro di essere
sotto osservazione.
Che faccio ? A chi lo dico ? Lo
rimuovo ? Lo lascio lì ? Lo
hackero / imbroglio / reverso e
mi vendo gli 0day ?
Trovo un Captatore sull'iPad
dell'AD (ovvero un Trojan, poi lo
traccio e capisco che è di
Gamma o di NSO)
WTF ?!? Se non lo dico l'azienda
mi può licenziare / fare causa ?
Mi difendo attivamente (BTW per
me potrebbe essere un malware
di chiunque). Questo mi rende
sospetto ?
NB e se faccio hacking back,
senza sapere che si tratta di
un'attività di PG ?
ESC2k16
12© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Conseguenze della diffusione dei TdS (IMHO)
1) Si innesca una "corsa agli armamenti"
Da un lato tutti vorranno avere ( = comprare) capacità
di utilizzo / deployment di questi sistemi (i privati per
spiarsi tra marito e moglie, genitori e figli etc, i
delinquenti per spiare inquirenti e magistrati, le
aziende per spiare i dipendenti…) e dall'altro tutti
vorranno avere strumenti (preventivi e reattivi) di
contrasto ai Trojan di Stato. Ne nascerà un mercato
underground molto remunerativo e pericoloso (più di
quanto già non sia).
Delirio totale globale
ESC2k16
13© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
2) Chi protegge gli inquirenti: in questa diffusione su tutti
i fronti di sistemi basati su malware deputati allo
spionaggio (di Stato e non), è inevitabile che gli
inquirenti saranno contrattaccati dai criminali e infettati
da RAT a loro volta. Chi li difende ? La vedo male….
3) Chi garantisce che i captatori (e chi offre il servizio)
non vengano a loro volta hackerati ? Se l'infrastruttura
(spesso privata) di supporto viene bucata / va giù, gli
inquirenti rimangono tagliati fuori. E se i dati raccolti dal
captatore sono taroccati sul device, gli investigatori
raccolgono il nulla, o peggio falsi indizi. Etc Etc.
Di nuovo, delirio totale globale. Ne vale la pena ?
Conseguenze della diffusione dei TdS (IMHO)
ESC2k16
14© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
Domande?
ESC2k16
15© [year] [legal member firm name], an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with
KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.
ESC2k16
top related