Informatica e Ingegneria Online

Attacchi alla sicurezza dei sistemi informatici in internet

Scritto il

Attacchi alla sicurezza dei sistemi informatici in internet

Internet e Sicurezza

In rete si è soggetti a molti pericoli. Per quanto sia possibile darsi da fare per avere un livello di sicurezza il più elevato possibile, nessun computer connesso ad Internet sarà sicuro al 100%.
Tra questi pericoli troviamo: furto di informazioni riservate, intercettazione del traffico, utilizzo di un pc aggredito per sferrare un attacco su altre macchine, defacing (modifica dei contenuti del proprio sito Web) e chi più ne ha più ne metta.

Come evidenziato, il problema della sicurezza in rete è di fondamentale rilevanza tanto da un punto di vista personale (possibili violazioni privacy) che professionale (diffusione di dati aziendali sensibili, perdita d’immagine, ecc.).

L’idea comune dell’utenza media “perché dovrebbero attaccare proprio me?” verte su presupposti privi di fondamento, giacché chiunque può essere vittima di attacchi informatici. Come dichiarò un famoso hacker “su internet non ci sono bocconi grandi e piccoli, bensì tutti sono prede grosse e appetibili”.

Attacchi alla sicurezza dei sistemi informatici in internet

Gli attacchi informatici avvengono quotidianamente in tutta la rete, coinvolgendo aggressori e vittime situati anche molto distanti tra di loro.
Un aggressore, può scegliere la propria vittima sulla base di particolari interessi personali:

  1. una azienda potrebbe voler attuare dello spionaggio industriale,
  2. un pirata informatico potrebbe voler violare una società di servizi bancari per rubare,
  3. o un amministratore di rete potrebbe voler semplicemente testare la sicurezza del proprio sistema informatico.

Una volta scelto il proprio obbiettivo, l’aggressore passa ad una fase di analisi delle possibili vulnerabilità o falle, su tutto il sistema protocollare.
E’ possibile individuare tre macro aree nelle vulnerabilità dei sistemi informatici:

  1. Vulnerabilità nel software, nelle applicazioni o nei sistemi operativi che girano sugli apparati di rete.
  2. Vulnerabilità nella eccessiva fiducia dei protocolli di rete, dei sistemi operativi e degli utenti.
  3. Vulnerabilità della di uno strato della rete più basso, che diventa sfruttabile da un aggressore quando questi controlla un nodo importante.

Vulnerabilità nel software

Internet è costituita di applicazioni, ciascuna delle quali ricopre un ruolo diverso, che può essere l’instradamento, l’offerta di informazioni o la funzione di sistema operativo.
Moltissime nuove applicazioni fanno quotidianamente il proprio ingresso sulle scene, ma per essere davvero utili devono interagire con l’utente: che siano client di chat, siti Web di e- commerce o giochi in linea, tutte le applicazioni modificano dinamicamente l’esecuzione in base all’input degli utenti.
Essendo su Internet, un’applicazione è accessibile in modo remoto da altre persone e, se codificata in modo non corretto, apre il sistema alle vulnerabilità; una realizzazione del codice poco robusta può essere provocata da errori puramente tecnici, dall’inesperienza o da anomalie impreviste.
In ogni caso, è possibile che l’utente, di proposito o meno, invii dati che l’applicazione non prevede: questo evento potrebbe provocare un risultato nullo, modificare lo scopo prestabilito dell’applicazione, far sì che quest’ultima fornisca agli utenti informazioni che costoro di norma non possono raggiungere, oppure ancora modificare l’applicazione stessa o il sistema sottostante.

Port Scanning

Un attacco finalizzato ad ottenere l’accesso ad un host va lanciato contro un servizio vulnerabile ad un problema che permetta all’aggressore di ottenere l’accesso.
È possibile risalire ai servizi adoperati dal sistema con alcuni metodi di raccolta delle informazioni nonché sondare manualmente le porte di un sistema con utilità quali “netcat” per vedere se la connettività al servizio è fattibile.
Il processo di racconta delle informazioni sui servizi disponibili è agevolato da strumenti come “nmap” (network mapper). Quando è usato su un sistema, nmap, si serve di numerose funzioni avanzate per identificare le caratteristiche di un host; tali funzioni includono la scansione variabile del flag TCP e l’analisi della risposta IP, per intuire il sistema operativo e identificare i servizi in ascolto su un host. Nmap può essere usato per identificare i servizi di un sistema aperti all’uso pubblico e quelli che sono in ascolto ma vengono filtrati attraverso un infrastruttura, come i wrapper TCP o l’attività dei firewall.
Altri strumenti come Nessus e SAINT comprendono inoltre un database di vulnerabilità specifiche che ricercano tra i servizi dell’host.
Le due tipologie di vulnerabilità software più diffuse sono l’overflow del buffer e le stringhe di formato.

Vulnerabilità nella “fiducia”

Molte tecniche di attacco verso sistemi informatici si basano sulla mancanza di controlli, della rete o dei suoi utenti verso informazioni provenienti dall’esterno.
Un aggressore spesso camuffa un attacco nascondendo il pericolo all’interno di un apparentemente innocuo messaggio di posta o in un qualsiasi file eseguibile. In questo caso la macchina dell’utente può essere vittima di un virus o di un programma trojan.

Virus e Trojan

I virus, intesi in senso stretto, altro non sono se non dei piccoli “programmi” incaricati di svolgere determinate istruzioni, tendenzialmente votate a creare ostruzionismo o danni al sistema dell’utente aggredito o ai dati dello stesso. Si diffondono nella maggior parte dei casi tramite posta elettronica/trasferimento di file infetti ed hanno la capacità, una volta eseguiti, di occultarsi e moltiplicarsi riproducendo il proprio codice in altre parti del sistema, con fini distruttivi.

Più nel dettaglio, anche se vengono catalogati e riconosciuti come virus dai software antivirus, i trojan horse sono dei programmi che non creano danni in modo autonomo se installati sul computer, in quanto altro non sono che programmi creati appositamente per il controllo e la gestione remota del pc infettato (controllo remoto/controllo a distanza tramite collegamento,internet o di altro tipo), da altri utenti anche dall’altro capo del mondo, grazie al collegamento internet.

Il trojan si compone di due programmi separati: il programma server ed il programma client: il primo si va ad installare nel pc vittima, il secondo viene usato dalla persona che effettua l’attacco, in modo che possa entrare nel pc server (quello infettato) e prenderne il totale controllo. I trojan più evoluti hanno anche una terza parte, l’editor server, che serve appunto per poter settare a distanza la parte server del programma. La diffusione del trojan puo’ avvenire in diversi modi, i più classici sono quelli di lasciare il programmino del trojan horse (di pochi Kb), camuffato con altro programma o utilità in vari siti, in attesa che qualcuno lo scarichi, oppure l’invio in allegato con email, lo scambio di file in linea con programmi di chat (tipo con irc o icq, il file deve essere accettato dall’utente). Il più delle volte il trojan sarà “mascherato” e perfettamente integrato con un programma comune, perfettamente funzionante, e quindi non riconoscibile come un programma che ci potrebbe creare problemi. Al momento dell’installazione il Trojan si maschera ulteriormente nel sistema, non è quindi rilevabile come per gli altri programmi.

Come difendersi ed evitare i virus informatici

Tecniche di controllo della rete

Quando un aggressore controlla una certa zona della rete, che può essere un host della LAN, un router di internet, o un semplice plug ethernet, può reperire informazioni riservate che viaggiano da un host all’altro mediante tecniche dette di “sniffing”.

Sniffing

Ogni sistema su una rete IP scambia informazioni con altri sistemi tramite singoli pacchetti che hanno un IP sorgente e un IP destinazione. Tipicamente un computer analizza e processa solo i pacchetti che arrivano al suo dispositivo di rete (una scheda ethernet, un modem ecc.) che hanno come IP di destinazione il proprio o che sono pacchetti di broadcast, indirizzati cioè ad ogni indirizzo IP attivo nello stesso network IP.
L’attività di sniffing il più delle volte è necessaria per monitorare e diagnosticare problematiche di rete ma può essere impropriamente utilizzata per intercettare informazioni sensibili di terzi, come login e password di accesso ad un determinato servizio.

Si possono sniffare pacchetti su ogni interfaccia di rete, ma tipicamente viene fatto su una scheda ethernet, per la quale possono esistere due tipi di ambienti tipici:

  1. Rete shareata, dove tutte le schede di rete dei computer nella rete locale ricevono TUTTI i pacchetti, anche quelli destinati ad altri indirizzi IP. In questo caso (rete ad anello con cavo coassiale oppure rete a stella con un hub centrale) le schede di rete dei PC normalmente selezionano solo i pacchetti destinati a loro e scartano tutti gli altri che attraversano il mezzo trasmissivo a cui sono collegati.
  2. Rete switchata, dove ogni PC riceve solo i pacchetti di broadcast o quelli destinati al proprio IP. Questa è tipicamente una rete a stella con uno switch al centro, che provvede autonomamente a forwardare ad ogni sua singola porta solo i pacchetti destinati all’IP del dispositivo collegato a quella porta, oltre ai broadcast, che vengono sempre propagati su tutte le porte.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario