Definizione di Port scanning in informatica
In informatica, il port scanning è una tecnica utilizzata per raccogliere informazioni sui computer connessi in rete. Letteralmente significa “scansione delle porte” e consiste nell’inviare richieste di connessione al computer bersaglio utilizzando pacchetti TCP, UDP e ICMP modellati ad hoc per stabilire quali servizi di rete siano attivi. Una porta si dice “in ascolto” (“listening“) o “aperta” quando vi è un servizio o programma che la usa. Più in dettaglio si può stabilire se una porta è:
- aperta: l’host ha inviato una risposta indicando che un servizio è in ascolto su quella porta;
- chiusa: l’host ha inviato una risposta indicando che le connessioni alla porta saranno rifiutate;
- filtrata: non c’è stata alcuna risposta dall’host, ad esempio in presenza di un firewall.
Di per sé il port scanning non è pericoloso per i sistemi informatici, e viene comunemente usato dagli amministratori nelle procedure di controllo. Rivela però informazioni dettagliate che potrebbero essere usate per predisporre un piano di attacco sfruttando la conoscenza dei servizi attivi e documentandosi su eventuali vulnerabilità note. L’utilizzo di un firewall ben configurato può consentire tuttavia il corretto funzionamento dei sistemi impedendo in tutto o in parte la scansione delle porte e privando gli attacker di uno strumento estremamente utile. Infine, le scansioni delle porte sono anche utili per i test penetranti difensivi. Un’organizzazione può scansionare i propri sistemi per determinare quali servizi sono esposti alla rete e assicurarsi che siano configurati in modo sicuro.
Pericoli del Port scanning
Come già detto, le scansioni delle porte sono utili per determinare le vulnerabilità di un sistema. Una scansione delle porte direbbe a un utente malintenzionato quali porte sono aperte sul sistema e ciò le aiuterebbe a formulare un piano di attacco. Ad esempio, se un server Secure Shell (SSH) è stato rilevato come in ascolto sulla porta 22, l’utente malintenzionato potrebbe provare a connettersi e verificare la presenza di password deboli. Se un altro tipo di server è in ascolto su un’altra porta, l’autore dell’attacco potrebbe attirare l’attenzione e vedere se c’è un bug che può essere sfruttato. Forse una vecchia versione del software è in esecuzione, e c’è una nota lacuna di sicurezza.
Infatti, una scansione delle porte può aiutare un aggressore a trovare un punto debole per attaccare e irrompere in un sistema informatico. È solo il primo passo, però. Solo perché hai trovato una porta aperta non significa che puoi attaccarla. Ma, una volta trovata una porta aperta su cui è in esecuzione un servizio di ascolto, è possibile eseguirne la scansione per rilevare eventuali vulnerabilità. Questo è il vero pericolo.
Sulla tua rete domestica, quasi sicuramente hai un router seduto tra te e Internet. Qualcuno su Internet sarebbe in grado di effettuare il port-scan del router e non troverà nulla a parte i servizi potenziali sul router stesso. Quel router funge da firewall, a meno che non abbiate inoltrato singole porte dal router a un dispositivo, nel qual caso tali porte specifiche sono esposte a Internet.
Per i server dei computer e le reti aziendali, i firewall possono essere configurati per rilevare le scansioni delle porte e bloccare il traffico dall’indirizzo che sta effettuando la scansione. Se tutti i servizi esposti a Internet sono configurati in modo sicuro e non hanno problemi di sicurezza noti, le scansioni delle porte non dovrebbero nemmeno essere troppo spaventose.
