Che cosa sono e come funzionano gli attacchi di intrusione in informatica
Quando il sistema non prevede strumenti evoluti per il riconoscimento dell’utente (chiave hardware, lettore di impronte digitali, etc.), l’accesso al sistema tramite password illegale è uno degli attacchi di intrusione più frequenti.
Tralasciando il caso in cui la password sia stata rubata al legittimo proprietario tramite intercettazione o deduzione (casi già trattati nelle sezioni precedenti), è possibile che essa venga individuata utilizzando programmi (ad esempio “ypx” per UNIX) appositamente progettati per genera re sistematicamente combinazioni di caratteri semi- casuali e verificarle come password tentando l’accesso al sistema in modo automatico. Attacchi di questo tipo devono il loro successo al fatto che gli utenti scelgono come password parole di uso comune, e quindi, in definitiva, ad una debolezza nella politica di sicurezza o nella sua attuazione da parte del personale.
Altri tipi di intrusione possono essere basati su tecniche più sofisticate, generalmente tese a sfruttare debolezze nei protocolli di rete e nel software di rete.
Su certe reti TCP/IP si possono generare con programmi appositi pacchetti IP falsificati, nei quali l’indirizzo del mittente è alterato per far credere al destinatario che i pacchetti provengano da un altro calcolatore (IP-spoofing) e/o il routing da seguire è prefissato in modo conveniente (source-routing). Sempre su certe reti TCP/IP, è inoltre possibile indovinare il sequence-number di una connessione, e quindi far credere al calcolatore sotto attacco, che i pacchetti inviati siano relativi ad una connessione già esistente e regolarmente autenticata.
Su reti TCP/IP con certe versioni di NFS (Network File System) è possibile, laddove il sistema sia configurato in modo poco accorto, accedere ad un disco remoto scavalcando i controlli sui diritti di accesso.
Una volta ottenuti in qualche modo (anche temporaneamente) i diritti di amministratore, è possibile installare nel sistema un meccanismo, detto backdoor, che permetta anche in seguito di mantenere un accesso privilegiato. Si tratta in questo caso di un attacco particolarmente insidioso in quanto la backdoor, finché non viene individuata e rimossa, continua a garantire l’accesso all’intrusore anche se il primo accesso illegale viene scoperto e la password di amministratore viene cambiata. Nei sistemi UNIX, ad esempio, si può installare un demone pirata con privilegi di amministratore (root) che, in condizioni legittimamente scatenabili dall’intrusore, provveda ad aprire una finestra (shell) di comando attraverso la quale accedere al sistema con diritti di amministratore. Questa tecnica rientra fra quelle indicate come “cavallo di Troia”.
