430 likes | 636 Views
COMPARTIMENTO POLIZIA POSTALE e delle COMUNICAZIONI. Sicurezza Informatica. Strumenti finanziari e relative frodi. Phishing. Il termine phishing è una variante di fishing (letteralmente "pescare" in lingua inglese).
E N D
COMPARTIMENTO POLIZIA POSTALEe delle COMUNICAZIONI Sicurezza Informatica
Phishing Il termine phishing è una variante di fishing (letteralmente "pescare" in lingua inglese). In ambito informatico il phishing e' una attivita' criminale che sfrutta una tecnica di ingegneria sociale, ed e' utilizzata per ottenere l'accesso ad informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o anche messaggi istantanei, ma anche contatti telefonici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.
Pharming Il pharming è una tecnica utilizzata per reindirizzare la connessione dell’utente verso un sito contraffatto. Questa può essere attuata in due modi: • Attraverso la modifica dei server DNS dell’internet provider senza intervenire sul sistema dell’utente. • Compromettendo il sistema dell’utente attraverso l’uso di un apposito malware . • I Root Servers sono dei server che gestiscono le zone/estensioni (.com, .org, .net, .edu, ecc.) I Root Servers sono 13 e sono sparsi nel mondo. I nostri DNS interrogano i Root Servers quando nella propria cache non è possibile avere il risultato.
Scam / Scam sentimentale Scam è un termine che individua una truffa perpetrata coi metodi dell’ingegneria sociale, in genere inviando una e-mail nella quale si promettono grossi guadagno in cambio di somme di denaro da anticipare. Scam sentimentale è un'altra forma di scam, più subdola, avviene tramite siti Internet per incontri e conoscenze. Alcune donne (di varia provenienza: usualmente Europa dell'est, Russia e Africa) mandano un messaggio di interesse alla vittima. Si instaura così un rapporto a distanza tramite e-mail con un fitto scambio di corrispondenza. La donna, in genere, si presenta con un profilo e un'immagine avvenente e con un atteggiamento subito propenso alla costruzione di un rapporto sentimentale. Sempre disponibile al dialogo, invia in genere foto a bassa risoluzione, a volte palesemente scaricate da Internet, per cui identificabili come fasulle. Dopo un certo lasso di tempo però viene richiesta una somma di denaro per far fronte a problemi economici, come un'improvvisa malattia, un prestito in scadenza ecc. La vittima viene quindi convinta a trasferire una certa cifra tramite conto bancario o con un trasferimento di contanti con sistemi come Western Union. Spiega.txt
Skimming Lo skimming e' una tecnica criminale che sfrutta uno strumento denominato ‘skimmer’utilizzato per commettere crimini a danno, soprattutto, degli utilizzatori degli sportelli Bancomat duplicando le carte di credito che vi vengono inserite. Una scheda di memoria EPROM ha il compito di memorizzare i dati della carta, mentre una eventuale micro-telecamera nascosta, registra il codice PIN digitato dal cliente. Alcuni malfattori utilizzano in opzione alla micro-telecamera una tastiera aggiuntiva posta sopra quella originale con collegata una chip card che memorizza i codici segreti digitati. Una volta acquisito il numero della carta di credito e il codice PIN, lo skimmer viene collegato ad un PC e i dati sottratti illecitamente vengono trascritti su tessere di plastica simili alle carte di credito.
Trashing Il trashing indica l’azione di recupero dei dati dai vecchi scontrini od estratti conto, spesso gettati via dai clienti senza la cura necessaria. Questi documenti, infatti, contengono tutte le informazioni necessarie, e per questo motivo sarebbe più prudente bruciarli oppure ridurli a pezzetti prima di gettarli nell'immondizia.
Boxing La tecnica del boxing consiste nell'intercettare la comunicazione banca-cliente attraverso la posta tradizionale, in modo da carpire tutte le informazioni necessarie.
Sniffing La tecnica dello sniffing consiste nell’intercettare le coordinate di pagamento effettuati con carte di credito a mezzo internet.
Rifiuto di addebitoo ChargeBack Il termine chargeback indica una modalità attraverso cui vengono gestiti i movimenti soggetti a contestazioni da parte dei titolari di carte di credito, che rifiutano gli addebiti. Le società fornitrici di carte di credito hanno creato un sistema per soddisfare i clienti che abbiano avuto un problema con una qualsiasi transazione, cioè che sono sicuri di non avere fatto. Il sistema è detto rifiuto d’addebito o chargeback. In questo modo, il cliente apre un contenzioso con l’azienda che ha emesso la sua carta. Qualora le richieste del cliente appaiano giustificate, la banca avvierà un rifiuto di addebito nei confronti della banca esercente.
La fase di Autenticazione L'esercente per verificare che la carta di credito possa pagare l'acquisto, deve chiedere l'autorizzazione alla banca emittente; questo può essere fatto in tre modi: 1. L'autorizzazione tramite terminale elettronico POS L'esercente, dopo aver digitato l'importo della transazione, "striscia" la carta nell'apposito terminale così, i dati presenti nella banda magnetica insieme al codice esercente, vengono trasmessi all' acquirer* che dopo pochi secondi fornisce l'esito della transazione. A questo punto, il terminale POS emette la ricevuta che dovrà essere firmata dal titolare della carta. *L'attività di acquiring consiste in una serie di servizi, forniti dal gestore della carta all'esercente, finalizzati a consentirgli l'accettazione di pagamenti regolati con carta di credito. Essi includono l'autorizzazione, il processing, l'accreditamento all'esercente dell'importo dovuto e possono comprendere anche la fornitura e l'assistenza del POS e della linea telefonica. 2. L'autorizzazione manuale con stampigliatrice meccanica L'esercente passa la carta nella stampigliatrice manuale dove verrà inserito un ordine di acquisto in triplice copia (per il titolare, per il negoziante, per la banca) e che sarà compilato con i dati della transazione. A questo punto l'esercente chiamerà telefonicamente l'acquirer per richiedere l'esito della transazione. 3. L'autorizzazione manuale terminale virtuale (internet) Il titolare inserisce i suoi dati identificativi, il numero della sua carta di credito, la data di scadenza e il codice CVV nel form di acquisto. I dati vengono trasmessi direttamente all'acquirer che fornisce l'esito della transazione.
Disposizioni di riferimento • R.D. 19 ottobre 1930 n.1398 (Approvazione del testo definitivo del codice penale) • L. 23/12/1993 n.547 (Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica • D.L. 3 maggio 1991 n.143, convertito nella L. 5 luglio 1991 n.197 (Provvedimenti urgenti per limitare l’uso del contante e dei titoli al portatore nella transazioni e prevenire l’utilizzazione del sistema finanziario a scopo di riciclaggio)
Art. 615 ter (Codice Penale) Accesso abusivo ad un sistema informatico o telematico Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volonta' espressa o tacita di chi ha il diritto di escluderlo, e' punito con la reclusione fino a tre anni. La pena e' della reclusione da uno a cinque anni: 1) se il fatto e' commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita' di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e' palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanita' o alla protezione civile o comunque di interesse pubblico, la pena e', rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto e' punibile a querela della persona offesa; negli altri casi si procede d'ufficio (1). (1) Articolo aggiunto dall'art. 4, L. 23 dicembre 1993, n. 547 Procedibilità a querela di parte/d’ufficio
Art. 615 quater (Codice Penale) Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Chiunque, al fine di procurare a se' o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, e' punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni. La pena e' della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617 quater (1). (1) Articolo aggiunto dall'art. 4, L. 23 dicembre 1993, n. 547 Procedibilità d’ufficio
Art. 617 quater (Codice Penale) Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Chiunque fraudolentamente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra piu' sistemi, ovvero le impedisce o le interrompe, e' punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca piu' grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. Tuttavia si procede d'ufficio e la pena e' della reclusione da uno a cinque anni se il fatto e' commesso: 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessita'; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualita' di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato (1). (1) Articolo aggiunto dall'art. 6, L. 23 dicembre 1993, n. 547 Procedibilità a querela di parte/d’ufficio
Art. 617 quinquies (Codice Penale) Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra piu' sistemi, e' punito con la reclusione da uno a quattro anni. La pena e' della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617 quater (1). (1)Articolo aggiunto dall'art. 6, L. 23 dicembre 1993, n. 547 Procedibilità a querela di parte/d’ufficio
Art. 635 bis (Codice Penale) Danneggiamento di sistemi informatici e telematici Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, e' punito, salvo che il fatto costituisca piu' grave reato, con la reclusione da sei mesi a tre anni. Se ricorre una o piu' delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto e' commesso con abuso della qualita' di operatore del sistema, la pena e' della reclusione da uno a quattro anni (1). (1) Articolo aggiunto dall'art. 9, L. 23 dicembre 1993, n. 547 Procedibilità d’ufficio
Art. 640 ter (Codice Penale) Frode Informatica Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalita' su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se' o ad altri un ingiusto profitto con altrui danno, e' punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a due milioni. La pena e' della reclusione da uno a cinque anni e della multa da lire seicentomila a tre milioni se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto e' commesso con abuso della qualita' di operatore del sistema. Il delitto e' punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un'altra circostanza aggravante (1). (1) Articolo aggiunto dall'art. 10, L. 23 dicembre 1993, n. 547. Procedibilità a querela di parte/d’ufficio
Art.55 comma 9 D.Lgs. 231/07ex Art. 12 D.L. 3 maggio 1991 n.143, convertito nella L. 5 luglio 1991 n.197 Carte di credito, di pagamento e documenti che abilitano al prelievo di denaro contante Chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con lamulta da lire seicentomila a lire tre milioni. Alla stessa pena soggiace chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi (1). 1) Comma così modificato dalla legge di conversione 5 luglio 1991, n. 197 Procedibilità d’ufficio
Attori Definizioni correnti di hacker in base alle finalità: Lamers, Wannabe, Script Kiddies, Ethical, Malicious, Crackers, Hacktivist, White Hats, Black Hats, Grey Hats, e mille altri… Da grande voglio fare l’hacker… La scena hacker attuale è in continua espansione, grazie all’ampia disponibilità di nozioni necessarie, di mezzi tecnici adeguati ed alla creazione di strumenti facili da utilizzare anche per i neofiti. Alcuni tra i più esperti passano a volte ad occuparsi di sicurezza informatica in società o enti operanti in quest’ambito. Altri rimangono semplici curiosi. Alcuni invece fanno confluire le proprie conoscenze in progetti illeciti.
Sicurezza InformaticaStrumenti a larga diffusione • Malware • Virus • Worm • Trojan horse • Botnet
Virus In informatica un virus è un software in grado, una volta installato su un sistema, di replicarsi in maniera autonoma, spesso all’insaputa dell’utente. Iniziano a circolare negli anni 80 tramite lo scambio di floppy disk e si agganciano ai programmi eseguibili. Non costituiscono una grande minaccia per quanto riguarda privacy o transazioni finanziarie. Tra i più famosi Jerusalem, Vienna, Chernobyl. Con la diffusione di Internet cambia anche il metodo di diffusione dei virus, dando vita alla categoria dei Worm.
Worm Un worm è un malware che è in grado di propagarsi in maniera autonoma, ossia senza intervento alcuno da parte dell’utente, anche su altri sistemi sfruttando vari strumenti di comunicazione. Possono infatti utilizzare la posta elettronica (es. Melissa e I love you), le condivisioni di rete (es. Blaster e Sasser), i server web (es. SQL Slammer), l’instant messaging, il peer-to-peer, ecc.. Il metodo di trasmissione dei worm è quello attualmente utilizzato anche per altre categorie di malware. Anche il recente Stuxnet rientra nella categoria dei worm.
Trojan Attualmente, col termine generico di Trojan, ci si riferisce spesso alla tipologia di malware ad accesso remoto, composti generalmente da 2 file: il server, che viene installato nella macchina vittima, ed il client, usato dall'attaccante per inviare istruzioni che il server esegue. Famosi i primi netbus, subseven, backorifice. In alcuni casi, nella pratica, tale logica viene rovesciata, ossia sulla macchina dell’utente viene installato un malware che svolge anche funzioni da client, programmato per aggiornarsi e ricevere istruzioni in maniera autonoma da un server centralizzato di C&C che contiene i relativi dati. Quest’ultimo è il metodo con cui vengono abitualmente strutturate le BotNet.
Alcuni trojan • BlackHole E’ un kit molto diffuso, utilizzato per iniettare codice malevolo presente su un server dedicato, sul quale viene reindirizzata la connessione dell’utente all’atto della visita su un sito web lecito o tramite link contenuti in messaggi di posta. • Sfrutta vulnerabilità i varie tecnologie vari che possono essere presenti sul computer della vittima. • Flashback Trojan per Mac che sfrutta la vecchia versione di Java, si maschera da installer di Adobe Flash e si installa sul sistema.
Il caso Zeus / Zbot Zeus è una famiglia di trojan molto diffusa e realizzata tramite un kit di sviluppo altamente personalizzabile. Il kit comprende anche il server necessario per realizzare il relativo centro di controllo. Era venduto a circa $ 700 ma nelle ultime e più sofisticate versioni in prezzo era molto superiore. E’ orientato principalmente a carpire dati di servizi finanziari. E’ invisibile all’utente. E’ difficilmente individuabile dagli antivirus. Viene diffuso tramite tecniche “drive by download” ossia phishing, allegati, web server o peer to peer (non può autoreplicarsi).
Il caso Zeus / Zbot E’ composto da un file eseguibile e uno o più files di configurazione che, nelle ultime versioni sono crittografati. Si collega a più server per aggiornare i propri files di configurazione. Esegue numerose attività sul sistema, configurabili a scelta dell’attaccante. E’ stato individuato anche su piattaforma Android come falso antivirus, che “ruba” gli sms in arrivo inviandoli ad un server remoto nascondendoli all’utente.
Zeus: diffusione https://zeustracker.abuse.ch/
Altri strumenti • Botnet Rete di computer infetti, situati in varie località geografiche, abusivamente costituite, organizzate e controllate dal “BotMaster” tramite appositi strumenti e utilizzati in maniera coordinata con varie finalità. • Keylogger Software che consente nel registrare qualsiasi tasto digitato sulla tastiera. Anche alcuni applicativi di controllo parentale includono questa tecnica. • Dialer, spyware e altri strumenti.
Attività investigative • Alto livello di attenzione: non si può essere mai sicuri di conoscere perfettamente la minaccia. • Notizie aggiornate da fonti qualificate • Antivirus e firewall aggiornati e ben configurati (necessari ma non sufficienti) • Ricerca ed analisi manuale dei files compromessi o sospetti • Analisi dei pacchetti sulla rete
Attacchi informaticiTecniche per attacchi mirati e passi successivi • Social Engineering • Exploit • Password Cracking • Packet Sniffer • Spoofing Attack • Rootkit
Attacchi informatici Hacking dei sistemi: • Concetti di utenti, servizi e relativi privilegi • Vulnerabilità ed exploit • Scalabilità dei privilegi e possibilità di attacchi locali • Attacchi diretti verso sistemi vicini al target principale
Attacchi informatici Finalità degli attacchi: • Sfruttamento dei sistemi per utilizzo delle risorse o come piattaforma per effettuare altri attacchi (bouncing). • Spionaggio, frodi, estorsioni o danneggiamento del sistema • Azioni dimostrative (defacement o DoS)
Attacchi Informatici Alcune tecniche diffuse di hacking di applicazioni web: • Sql Injection • Cross Site Scripting (XSS) • L’uso dei CMS facilita gli attacchi in serie su una determinata vulnerabilità (Joomla, WordPress, PHP-Nuke)
Attacchi di tipo Denial of Service Attacco che mira a saturare le risorse di un sistema attraverso un elevato numero di richieste di accesso ad un servizio. Può essere attuato anche sfruttando le risorse di numerosi sistemi (Distribuited Denial of Service). Possono essere utilizzate botnet abusive o strumenti software che amplificano la portata dell’attacco da parte di utenti, anche volontari (es. LOIC). E’ un tipo di attacco ad oggi prevalentemente utilizzato per manifestare dissenso. Può anche essere utilizzato per inabilitare temporaneamente sistemi di protezione o server in maniera contestuale (per sviare l’attenzione) o propedeutica ad un vero e proprio attacco informatico. Il DoS solitamente non comporta danni permanenti ai sistemi e la situazione si normalizza al cessare dell’attacco. Esistono poche contromisure o precauzioni. L’implementazione del protocollo TCP spesso non consente di individuare la reale origine dell’attacco.
Prevenzione degli attacchi • Aggiornamento costante di tutti i sistemi • Addestramento e sensibilizzazione del personale addetto • Attenta amministrazione dei privilegi concessi ad utenti e servizi • Uso di sistemi di protezione specifici opportunamente aggiornati e configurati. Vigilanza continua…
Attività investigativa • Saper discriminare tra attacco ancora in corso oppure effettivamente concluso • Individuare correttamente la tipologia di attacco, l’attività illecita perpetrata e raccogliere tutti gli elementi utili. • Messa in sicurezza del sistema e dell’intera rete prima di ripristinare l’attività • Attenta analisi di tutti i dati raccolti Sono attività di computer e di network forensic.
Casi pratici e discussione conclusiva