Embed Size (px)
Citation preview
Tesi di laurea in Sociologia
CYBERCRIME: un approccio tecnologico e sociologico all’analisi e alla prevenzione
Autore: Stefano Maccaglia Relatore:Prof. Andrea Meloni
CorrelatoreProf.ssa Assunta Viteritti
Introduzione
Il mondo informatizzato ha garantito l’esplosione delle comunicazioni, la globalizzazione, ma ha generato problemi che divengono una vera criticità.
Uno di questi è il crimine informatico: «Cybercrime».
Il fenomeno ha travalicato le barriere dell’informatica divenendo uno strumento di coercizione, adottato in geopolitica e nel commercio come pratica competitiva.
Il Progetto: l’obiettivo
Creare un agente software, basato su un algoritmo neurale, in grado di monitorare i sistemi potenzialmente attaccabili (da malware e APT) e di segnalare la presenza di una violazione o di una anomalia grazie all’analisi del comportamento dei processi della macchina.
• Dall’Hacking al Cybercrime
• Il Cybercrime nel nuovo millennio
• Gli APT
Prospettiva Storica
• L’analisi degli Hacker
• La «Teoria dei giochi»
• Gli studi più recenti
• Gli indicatori sociologici
Prospettiva Sociologica • Il progetto
• L’Intelligenza Artificiale
• L’agente software
L’analisi tecnica
• La dimostrazione
• I possibili scenari di applicazione
Risultati
Lo spionaggio e la nascita degli APT
Nell’ultimo decennio il Cybercrime è divento uno strumento utile per queigoverni che vogliono ridurre il loro ritardo tecnologico a spese dei paesi piùricchi.
Per questo sono nati i primi gruppi di Cybercriminali a servizio di istituzionigovernative e con esse sono nati i primi «hack» che hanno come obiettivo ilfurto di informazioni «riutilizzabili» in prospettiva politica o industriale.
Queste comunità ricevono, in cambio per il loro supporto, denaro e libertàd’azione.
Introduzione: APT in azione
In questa logica può essere letta l’irreggimentazione, a servizio delle imprese nazionali, dei gruppi hacker cinesi, che ha portato alla nascita di quello che ora chiamiamo il «fenomeno APT»: sistematico attacco di aziende pubbliche e private in tutto il mondo ad opera delle «crew cinesi», iraniane, coreane, russe, brasiliane, ecc… mosse da interessi afferenti allo spionaggio industriale e militare e sponsorizzate da strutture governative o para-governative.
Il Progetto: la sociologia
Ma è nella classificazione e nella “previsione” che si aprono gli scenari più importanti per una costruttiva sinergia tra la sociologia e la Sicurezza introducendo una chiave lettura essenziale per comprendere le dinamiche e il ciclo di vita del software malizioso: il “riuso” .
Nel mondo del crimine informatico, e degli APT, questa pratica è fondamentale.
I criminali, nella maggior parte dei casi, non sviluppano i software che usano, ma li acquistano o li richiedono a sviluppatori conniventi che li programmano seguendo le indicazioni dei propri “clienti”.
Il Progetto: l’agente software
L’agente di monitoraggio è un piccolo componente software che installato sulla macchina da sottoporre a controllo, controllerà l’esecuzione di ogni nuovo processo a partire dalla sua esecuzione.
L’agente opererà il monitoraggio forzando l’iniezione (Injection) dei suoi componenti ad ogni caricamento di ogni nuovo processo copiandosi all’interno delle aree di memoria assegnate al nuovo processo dal Sistema.
Il Progetto: il meccanismo di iniezione dell’agente
Ogni nuova applicazione che viene eseguita richiede risorse (memoria ed elaborazione), ma prima che queste risorse possano essere rese disponibili, il mio agente si «inserisce» e analizza se la richiesta e le sue istruzioni sono «sospette». Nel frattempo l’agente blocca temporaneamente il processo (con la funzione «sleep»).
Le istruzioni collezionate vengono passate alla rete neurale, che in base alla sua «esperienza» definisce se l’insieme di queste istruzioni mostra un profilo «malizioso» o «legittimo».
La classificazione operata dalla rete neurale viene inoltrata all’agente che attua così una opportuna azione e alla Console per tenere traccia dell’evento.
Il funzionamento dell’Agente
Una dimostrazione dell’agente
Applicazione dell’agente per contrastare un malware che verrà lanciato in una macchina sottoposta a monitoraggio.
La dimostrazione mostrerà da un lato cosa accade nel sistema vittima e dall’altro cosa viene segnalato alla Console dell’operatore, ovvero allo strumento di gestione pensato per raccogliere gli allarmi e le attività registrate dai vari agenti.
Bidirectional
Encrypted
Communication
HINT Console
Log Server
HINT
(Agente Software)
L’operatore riceve l’alert e può decidere se accettare la classificazione o rifiutarla
L’agente blocca il malware, lo classifica e invia l’alert alla Console
Una dimostrazione dell’agente
Nel nostro caso lanceremo un eseguibile malizioso sulla macchina A, una macchina Windows 7 virtualizzata. La console girerà in un’altra macchina Windows 7 che comunica con la prima attraverso una comunicazione cifrata bidirezionale.
Bidirectional
Encrypted
Communication
HINT Console
Log Server
HINT
(Agente Software)
AB
Il malware crea il suo processo e chiede risorse al Sistema
1
2 3
In base all’azione dell’operatore il processo potrà essere terminato, liberato o ulteriormente analizzato attraverso il dump della sua memoria per successivi approfondimenti.
Il Progetto: il modello di Rete Neurale usato
La rete neurale scelta è un modello Multilayer Feedforward di tipo adattativo focalizzata sulla "Pattern Recognition" per la Classificazione.
In genere, questo tipo di Sistemi consiste di quattro unità funzionali: Un data set “Estrattore” (per selezionare e misurare le proprietà
rappresentative di dati di ingresso grezzi in una forma ridotta).
Uno Spider. Un meccanismo di ricerca di stringhe per confrontare un modello di input con i modelli di riferimento utilizzando una misura di distanza.
Un Training Set di riferimento (contro cui il pattern di input viene confrontato),
Un Decisore (per prendere la decisione finale su quale modello di riferimento è il più vicino al modello di ingresso).
Il Progetto: le componenti della Rete Neurale
Il Progetto: il processo di classificazione e decisione
Il Progetto: il processo di correzione
Perché è rilevante la ricerca sociologica in questo campo
Ancoraggio dei meccanismi di analisi e di “decisione” ai risultati dell’analisi sociologica, in particolare a quelle della “teoria dei giochi” della “razionalità limitata».
La teoria dei giochi stata molto utile a sviluppare le classi analitiche e gli indicatori per la profilazione degli avversari.
Ha per oggetto lo studio matematico di qualunque situazione che comporti un conflitto d'interessi, con l'intento di indicare le scelte ottimali o le decisioni che, sotto opportune condizioni, possano portare all'esito desiderato.
Perché è rilevante la ricerca sociologica in questo campo
Analizzare un attacco informatico significa analizzare l’azione di attori che si confrontano su di un terreno dove le regole e le condizioni del gioco sono predeterminate, così come è predeterminabile l’obiettivo che essi si pongono: il furto di dati.
Apparentemente, un attacco informatico può presentarsi in forma molto caotica e complessa. L’attaccante può adottare azioni che a volte non sembrano coerenti con la finalità ultima.
In realtà, come si è dimostrato in molti casi, questi attacchi hanno il fine di “sviare l’attenzione” del personale preposto alla sicurezza dal vero obiettivo dell’attaccante, come dimostrato da B.Brenner (Akamai).
Conclusioni
In futuro sarà possibile, istruendo opportunamente l’agente, sviluppare una routine di classificazione che possa non solo individuare il malware, ma anche il gruppo di attaccanti ad esso collegati a valle del collezionamento degli indicatori di compromissione specifici dell’attacco (in gergo chiamati IOCs, ovvero Indicatori di Compromissione).
Bisognerà integrare all’agente un ulteriore spider che, partendo dagli indicatori forniti dallo studio sociologico sulla profilazione, possa collegare l’attacco con lo specifico gruppo di attaccanti che lo adottano o che lo hanno sviluppato.
La profilazione è una delle chiavi di maggiore interesse nei moderni studi sugli attacchi informatici, ma fino ad ora, in mancanza di un agente in grado di raccogliere informazioni sulla programmazione e di registrare la dinamica dell’attacco, questo tipo di studi è stato limitato dal costo, in termini di tempo e risorse, richiesto per svolgere questa analisi manualmente.
Grazie per l’attenzione
