Cryptolocker, trick or threat: phishing e malware alla ricerca dell'anello debole

Il Cryptolocker è un malware diffuso su scala globale appartenente alla categoria ransomware. La mia analisi consiste nel ripercorrere le origini dei software maligni alla ricerca di rappresentanti del genere con caratteristiche simili al virus che senza tregua persevera a partire dal 2013: il Cryptolocker. Per imparare di più sul comportamento di questa minaccia vengono esposte delle analisi del malware, quella statica e quella dinamica, eseguite sul Cryptolocker (2013), CryptoWall (2014) e TeslaCrypt (2015). In breve viene descritta la parte operativa per la concezione e la configurazione di un laboratorio virtuale per la successiva raccolta di tracce lasciate dal malware sul sistema e in rete. In seguito all’analisi pratica e alla concentrazione sui punti deboli di queste minacce, oltre che sugli aspetti tecnici alla base del funzionamento dei crypto, vengono presi in considerazione gli aspetti sociali e psicologici che caratterizzano un complesso background da cui il virus prolifica. Vengono confrontate fonti autorevoli e testimonianze per chiarire i dubbi rimasti dopo i test. Saranno questi ultimi a confermare la veridicità dei dati emersi dai miei esperimenti, ma anche a formare un quadro più completo sottolineando quanto la morfologia del malware sia in simbiosi con la tipologia di utente che va a colpire. Capito il funzionamento generale del crypto sono proprio le sue funzionalità e le sue particolarità a permettermi di stilare, anche con l’aiuto di fonti esterne al mio operato, una lista esauriente di mezzi e comportamenti difensivi per contrastarlo ed attenuare il rischio d’infezione. Vengono citati anche le possibili procedure di recupero per i dati compromessi, per i casi “fortunati”, in quanto il recupero non è sempre materialmente possibile. La mia relazione si conclude con una considerazione da parte mia inaspettata: il potenziale dei crypto, in tutte le loro forme, risiede per la maggior parte nel social engineering, senza il quale (se non per certe categorie del ransomware) l’infezione avrebbe percentuali di fallimento decisamente più elevate.

Data breach - services for threat detection, analysis and response

Nel mondo della sicurezza informatica, le tecnologie si evolvono per far fronte alle minacce. Non è possibile prescindere dalla prevenzione, ma occorre accettare il fatto che nessuna barriera risulterà impenetrabile e che la rilevazione, unitamente ad una pronta risposta, rappresenta una linea estremamente critica di difesa, ma l’unica veramente attuabile per poter guadagnare più tempo possibile o per limitare i danni. Introdurremo quindi un nuovo modello operativo composto da procedure capaci di affrontare le nuove sfide che il malware costantemente offre e allo stesso tempo di sollevare i comparti IT da attività onerose e sempre più complesse, ottimizzandone il processo di comunicazione e di risposta.

The secret life of software applications

One of the most undervalued problems by smartphone users is the security of data on their mobile devices. Today smartphones and tablets are used to send messages and photos and especially to stay connected with social networks, forums and other platforms. These devices contain a lot of private information like passwords, phone numbers, private photos, emails, etc. and an attacker may choose to steal or destroy this information. The main topic of this thesis is the security of the applications present on the most popular stores (App Store for iOS and Play Store for Android) and of their mechanisms for the management of security. The analysis is focused on how the architecture of the two systems protects users from threats and highlights the real presence of malware and spyware in their respective application stores. The work described in subsequent chapters explains the study of the behavior of 50 Android applications and 50 iOS applications performed using network analysis software. Furthermore, this thesis presents some statistics about malware and spyware present on the respective stores and the permissions they require. At the end the reader will be able to understand how to recognize malicious applications and which of the two systems is more suitable for him. This is how this thesis is structured. The first chapter introduces the security mechanisms of the Android and iOS platform architectures and the security mechanisms of their respective application stores. The Second chapter explains the work done, what, why and how we have chosen the tools needed to complete our analysis. The third chapter discusses about the execution of tests, the protocol followed and the approach to assess the “level of danger” of each application that has been checked. The fourth chapter explains the results of the tests and introduces some statistics on the presence of malicious applications on Play Store and App Store. The fifth chapter is devoted to the study of the users, what they think about and how they might avoid malicious applications. The sixth chapter seeks to establish, following our methodology, what application store is safer. In the end, the seventh chapter concludes the thesis.

Un framework per la gestione di moduli di insider threat detection basati su eBPF

Gli Insider Threat sono una problematica complessa e rappresentano una delle problematiche più costose per le organizzazioni: questi ultimi possono, potenzialmente, realizzare grandi guadagni dalle informazioni sottratte danneggiando i clienti e provocando danni irreparabili all’organizzazione. Screening effettuati prima dell’assunzione e la costruzione di un relazione di fiducia basata sulla collaborazione rimangono fondamentali ma, spesso, non sono sufficienti ed è bene integrare il processo di difesa da insider threat all’interno delle business operation. Date queste precondizioni, l’obiettivo di questa tesi è stato quello di cercare un approccio sistematico per affrontare il problema dell’Insider Threat e di fornire nuovi strumenti per la sua detection altamente specializzati nel campo della cyber-security. Dato il campo applicativo, risulta fondamentale rendere questo processo totalmente trasparente al potenziale insider threat. Le più moderne tecniche di hiding, prese dai moderni malware, sono state implementate utilizzando eBPF rendendo possibile unire una quasi totale invisibilità unita alla stabilità garantita da questa tecnologia.

ricerca di vulnerabilità in applicazioni apple su dispositivi mobile

Le app mobile sono sempre più pervasive nella vita quotidiana delle persone: gli smartphone hanno rivoluzionato il modo di interagire degli utenti con le varie organizzazioni. Che sia per l'accesso al proprio conto corrente, per la visualizzazione delle notizie quotidiane o per il semplice svago, gli utenti usano sempre più il mondo mobile come canale privilegiato per la fruizione dei contenuti digitali. Il sempre maggior successo delle applicazioni mobile ha sempre più spostato l'attenzione dei malintenzionati sugli smartphone, che sono diventati così uno degli obiettivi più popolari per i cyberattacchi: ciò comporta nuove sfide per le organizzazioni al fine di garantire la sicurezza di dati e sistemi. Risulta fondamentale per un organizzazione in particolare mantenere un controllo sulle proprie applicazioni mobile: configurazioni errate, errori di programmazione, inclusione di librerie software vulnerabili o malevoli e la presenza di credenziali cablate nel codice o nelle configurazioni rappresentano un notevole rischio per la confidenzialità, l'integrità e disponibilità di dati e sistemi. Se risulta fondamentale nello sviluppo un approccio che utilizzi i principi della Security by Design, risulta ancora più importante un presidio costante sulle applicazioni e la costruzione di un ciclo di vita del software sicuro (SSDLC). A tal fine la proposta del progetto di tesi riguarda l'analisi delle principali minacce e vulnerabilità delle applicazioni mobile e lo sviluppo di uno strumento di analisi dei pacchetti mobile (su piattaforma Android o iOS) al fine di identificare possibili rischi prima della pubblicazione dei pacchetti sugli store ufficiali.