Attacchi di disturbo in informatica

Attacchi di disturbo in informatica

Gli attacchi che fanno uso di queste tecniche non sono tesi ad accedere a servizi ed informazioni, ma semplicemente a degradare la operatività del sistema. Sono considerabili come atti di sabotaggio, e minacciano tipicamente la integrità e la disponibilità dei dati, più raramente (e indirettamente) la riservatezza. Esistono diverse tecniche di disturbo, le tre più imporanti sono:

  1. Attacchi di disturbo tramite virus
  2. Attacchi di disturbo tramite worm
  3. Attacchi di disturbo Denial of Service

Attacchi di disturbo tramite virus

I virus sono programmi auto-replicanti, spesso inseriti nel sistema come cavalli di Troia, generalmente pericolosi per la integrità del file-system e per la disponibilità dei servizi. Sono molto diffusi sui Sistemi Operativi mono-utente, decisamente meno frequenti su quelli multi-utente. In molti contesti, comunque, il sistema informatico presenta postazioni di lavoro client basate su Personal Computer con Sistema Operativo mono- utente, ed in tal caso gli attacchi tramite virus vanno presi in grande considerazione.

I virus sono principalmente caratterizzati da:

  • logica del payload, cioè dal modo in cui arrecano danno al sistema; il payload è la parte del codice virale che arreca direttamente il danno; la logica del payload può essere piuttosto complessa, e variare il comportamento del virus in funzione di variabili come data ed ora, presenza di determinati file nel file-system infettato, nome, tipo o dimensione dei file da alterare; gli effetti del payload sono spesso resi volutamente pseudocasuali al fine di camuffare i danni causati come problemi nell’hardware o nel software di base del calcolatore colpito;
  • modalità di infezione, cioè dal modo in cui si inseriscono e si duplicano nel sistema; rispetto alla modalità di infezione, abbiamo ad esempio virus parassiti, di Boot- Sector, gemelli, multi-partiti, etc.; una casistica estesa e ragionata dei meccanismi di infezione esula dagli scopi di questa sezione, e rimandiamo per essa a testi specializzati;
  • modalità di mimetizzazione, cioè dal modo in cui si sottraggono alla identificazione da parte dei programmi anti-virus; rispetto alla modalità di mimetizzazione, abbiamo ad esempio virus stealth, polimorfici, armoured, tunneling, ecc.

Attacchi di disturbo tramite worm

I worm sono virus particolari che si limitano a degradare le prestazioni del sistema, ad esempio lanciando molte immagini di uno stesso processo. Quando il rallentamento del sistema supera una certa soglia, alcuni servizi possono risultare di fatto inutilizzabili, ed in questo caso si ha una violazione dei requisiti di disponibilità. L’attacco con worm è particolarmente subdolo su sistemi batch, nei quali è più probabile che il degrado delle prestazioni sia rilevato con un ritardo inaccettabile.

Attacchi di disturbo Denial of Service

Questi tipi di attacchi consistono in una famiglia di tecniche tese a fare in modo che il sistema neghi l’accesso a servizi ed informazioni anche ad utenti regolarmente autorizzati. Gli attacchi che usano queste tecniche minacciano quindi i requisiti di disponibilità del sistema. Due tipiche tecniche “denial of service” consistono ad esempio nel paralizzare il traffico sulla rete generando falsi messaggi di errore o intasandola con traffico di disturbo generato appositamente. Bisogna precisare che, ICMP (Internet Control Message Protocol) è un protocollo utilizzato fra calcolatori di reti TCP/IP per scambiarsi messaggi di errore. È possibile comporre pacchetti IP contenenti falsi messaggi ICMP ed inviarli ad un calcolatore, al fine di indurre questo a credere che un altro calcolatore o una intera sottorete sia fuori servizio. Le  nuove versioni di UNIX, comunque, non permettono più l’utilizzo di questa tecnica, in quanto dispongono di meccanismi più potenti per verificare la provenienza dei messaggi.

La tecnica detta “network flooding” consiste nel saturare una sottorete immettendovi pacchetti pirata generati automaticamente. Sfruttando la tecnica di IP-spoofing, è possibile fare il modo che il traffico pirata sia considerato dal gateway di accesso alla sottorete come traffico interno al sistema, e quindi immesso nella sottorete senza restrizioni. Quando la sottorete si congestiona, tutti i servizi che ne fanno uso risultano evidentemente non più disponibili.

 

 

Precedente Attacchi di intrusione in informatica Successivo Gli eventi accidentali nei sistemi informatici

Lascia un commento

*