Torna nell’edizione invernale, l’evento dedicato alla sicurezza informatica con il suo format caratterizzato da talk altamente specialistici di spiegazione sulle modalità di difesa, basate sulla conoscenza approfondita delle tecniche di attacco e sfruttamento delle vulnerabilità. Il tutto senza interventi di marketing.
Giunto all’undicesima edizione in cinque anni HackInBo è più giovane che mai ed ogni volta aumenta gli sponsor, gli spettatori e l’audience totale, grazie alla qualità dei talk, alla fruizione allargata mediante diretta streaming e alla travolgente simpatia che accompagna il clima dell’evento fin dalla sua preparazione, campagna social e gadgetistica.
In questa edizione in particolare si è parlato di exploitation con i primi due interventi per poi passare alla detection del malware, alla forensics sulla scena del crimine considerando l’aggiunta della dimensione digitale, fino alla Digital Mobile Forensics, alla crittografia e in ultimo una vista sul Cybercrime e il racconto dell’avventura dell’italianissimo team mHackeroni al DEF CON di Las Vegas. Tutti gli speaker sono professionisti della sicurezza informatica, a volte ricercatori, ma sempre impegnati sul fronte della formazione e condivisione di conoscenza e competenze.
Gli interventi della mattina
Davide Danelon ha presentato un talk sulla sicurezza applicativa ed in particolare sul Cross-Origin Resource Sharing (CORS) che permette l’accesso a risorse tra origini differenti nelle web application (protocollo, dominio, porta n.d.r.), normalmente impedita invece dalla SOP (Same Origin Policy). Testare il CORS e verificare misconfiguration, consente di evitare che un attaccante possa effettuare una violazione di bypass tale da permettergli un accesso alla web application accedendo così a dati privati. In favore degli attaccanti incidono anche gli errori di implementazione del CORS ma anche quelli di configurazioni di default. Esistono tuttavia best practices di adozione del CORS, spiegate durante il talk, che possono scongiurare questi rischi di sicurezza.
Enrico Perla ha introdotto gli astanti al problema delle vulnerabilità Side Channel e delle condizioni in cui si possono verificare per essere sfruttate rispetto alle diverse architetture di CPU, per il modo di quest’ultime di eseguire il codice. Gli attacchi di questo tipo sono indicati come Side Channel Attacks (SDA) e sfruttano caratteristiche implementative di HW e SW per ottenere informazioni normalmente non accessibili compromettendo la sicurezza di un sistema. Infatti, nel bilanciamento fra aumento delle performance ed esecuzione del codice, si creano delle vulnerabilità date dalle assunzioni dei progettisti di architetture. Meltdown e Spectre hanno sfruttato una di queste assunzioni in modo fraudolento, la speculative execution, per realizzare attacchi SDA. La difesa deve basarsi su tre step: fissare i bug individuali, prevenire la bug class (la classe generale di vulnerabilità n.d.r.) e uccidere la tecnica di exploitation (quella con cui si sfrutta la vulnerabilità n.d.r.). Per applicare la difesa su Side Channel devono essere scritte le CPU in modo diverso, ma si deve anche rinforzare il codice forse perdendo qualche micron di performance, in favore di qualche controllo in più.
Centrato sulla vita di un incident responder, Alessandro di Carlo, ha invece spiegato l’insieme di informazioni che un attaccante lascia su un sistema e che possono essere adoperate da chi investiga ed ha il ruolo di scoprire il codice malevolo. Usando la memory forensics mediante un dump della memoria si può avere accesso e collezionare evidenze e passi di un attaccante. Le fasi di studio passano da acquisizione, contesto e analisi.
Talk pomeridiani
Davide Gabrini ha introdotto il toolkit BENTo per la live forensics e l’incident response. Forte di una esperienza in ambito di polizia scientifica per le perizie e ricerca di evidenze sulla scena di un crimine, ha illustrato come la dimensione digitale possa servire per ottenere informazioni e tracce necessarie ad inquadrare il contesto in cui è avvenuto il reato. I nuovi tool digitali IoT, i wearable, ed ogni altro dispositivo che abbia una componente digitale può essere utile per l’analisi forense e per l’acquisizione di fonti di prova a valore probatorio in dibattimento. Tuttavia, la necessità è quella di essere accorti, perché tutto deve essere fatto senza inquinare le fonti di prova o perdere dati o alterare la timeline degli eventi precludendo la possibilità di indagini successive.
Matteo Redaelli ha invece sottolineato tutti i rischi correlati ai dispositivi mobile usati e spesso rivenduti, senza pensare alla cancellazione dei dati, che possono invece costituire una ghiotta occasione per un criminale informatico che quindi riesce a recuperare dati personali, password, utenze ma anche dati sensibili, abitudini di una persona, conversazioni o foto, per fini illeciti. La mobile forensic presenta delle sfide correlate all’eterogeneità dei dispositivi e dei vendor, ma un attaccante può preventivamente selezionare versione e il modello dei dispositivi per sfruttare le vulnerabilità già note, raccogliendo informazioni anche del livello di sicurezza implementato. Prima di vendere i propri dispositivi effettuare cifratura e wiping del dispositivo, ma in generale assicurarsi di poter effettuare una cancellazione sicura.
Marco Ortisi introduce invece gli astanti alla crittografia secondo l’agoritmo RSA, che usa il binomio di chiave pubblica e privata, usato sia per celare i dati (la chiave pubblica cifra e la privata decifra n.d.a.), sia per effettuare la firma digitale (si cifra con la chiave privata e si decifra con la chiave pubblica n.d.a.). Ma la crittografia è usata anche nel protocollo SSL (Secure Socket Layer n.d.r.), oggi evoluto a TLS (Transport Socket Layer n.d.r.) per realizzare un canale di comunicazione sicuro. Le evidenze di Marco Ortisi ed i suoi esperimenti e verifiche hanno però dimostrato che la crittografia su canale sicuro può essere soggetta ad errori, il bit flipping. Ma se la crittografia si rompe, o viene rotta ad esempio con un attacco di bitsquatting specifica Ortisi, si possono rivelare in chiaro i dati in transito e questo accade più spesso di quanto non si pensi. Alla luce dei suoi esperimenti, svolti in un periodo temporale di due anni sono risultati coinvolti principalmente i dispositivi embedded.
Koby Kilimnik e il suo talk su traffico e contraffazione di farmaci ha introdotto la V!4GR4 botnet e il suo sistema di cybercrime allargato con cui i criminali si finanziano. Le tecniche di attacco di questi attori malevoli sono state descritte per evidenziare il livello di efficacia ed incidenza raggiunto da questa rete, ma soprattutto per indicare alle organizzazioni la modalità più appropriata di difesa.
Chiude la serie dei talk, una delegazione del team mHackeroni, un gruppo molto esteso, di oltre 40 ragazzi italiani, capaci di distinguersi in competizioni CTF e in particolare motivati a ottenere una qualificazione fra i primi 10 alla competizione del DEF CON; sono invece arrivati addirittura secondi al mondo alle qualificazioni e sono riusciti a partire tutti, per la finale a Las Vegas terminando settimi con grande soddisfazione loro ed un moto di orgoglio nazionale per chi li ha seguiti in questa avventura e in quella Europea in cui alcuni dei componenti hanno partecipato.
Candidature aperte per HackInBo
In parallelo ai talk tecnici e agli approfondimenti, viene favorita anche la ricerca di talenti da parte delle aziende sponsor partecipanti e quindi chiunque voglia inviare la sua candidatura per la ricerca di lavoro può scrivere a [email protected].
Fondamentale e continuo il supporto alla “non basta un sorriso onlus” per l’aiuto fattivo e concreto in Italia, all’estero nella Repubblica Democratica del Congo per garantire sanità, istruzione, pronto soccorso con progetti che puntualmente sono realizzati e documentati.
Mario Anglani founder e organizzatore dell’evento ha anche annunciato che per la prossima edizione, prevista fra il 2 e 5 Maggio è la community si trasferirà in una diversa location. L’evento si terrà durante una crociera fra Genova-Barcellona-Marsiglia-Genova con formazione su offensive security e digital forensics garantita da 150 hacker coinvolti. Per Prenotarsi e approfondire i dettagli dell’evento ci si può registrare al sito dell’evento HackInBoat ma è stata già predisposta una apposita lista di attesa perché come sempre accade con HackInBo, i posti “vanno a ruba”!