Differenza tra Exploit, Backdoor e Port scanning in informatica

Exploit

Un exploit è una tecnica in grado di sfruttare un bug o una vulnerabilità di un sistema informatico per acquisire privilegi o addirittura prenderne il controllo. Esistono diversi modi per classificarli tra i quali la modalità con cui viene contattata l’applicazione target: un exploit remoto viene condotto attraverso la rete e non richiede precedenti accessi al sistema, mentre un exploit locale necessita di un accesso fisico alla macchina. Un’ulteriore classificazione tiene conto del tipo di vulnerabilità sfruttata (ad es. buffer overflow, format string attacks, ecc.)

La maggior parte di essi mira all’acquisizione dei privilegi di root (amministratore) per effettuare operazioni che non sono consentite ai normali utenti. Generalmente un exploit può sfruttare solo una specifica vulnerabilità e nel momento in cui questa viene individuata e corretta attraverso il rilascio di una opportuna patch, l’exploit stesso perde ogni efficacia. Per questo motivo molti pirati informatici cercano di non divulgare le loro scoperte (chiamate in gergo “zero-day exploit”) per sfruttarle il più a lungo possibile. A parte l’utilizzo illecito che può esserne fatto, bisogna sottolineare che gli exploit sono estremamente utili perché rappresentano la prova evidente dell’esistenza di un potenziale problema o di un difetto di sicurezza all’interno di un sistema informatico e stimolano di conseguenza l’adozione di opportuni correttivi.

Backdoor

Le backdoor (“porte di servizio”) rappresentano degli accessi privilegiati in grado di superare le procedure di sicurezza attivate in un sistema informatico. La loro creazione da parte degli amministratori consente una più agevole opera di manutenzione dell’infrastruttura informatica, ma spesso è determinata da attacker intenzionati a penetrare nel sistema senza essere rilevati. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire il controllo remoto della macchina senza l’autorizzazione del proprietario. Di solito l’accesso ottenuto in questo modo consente di sfruttare il sistema per il lancio di attacchi di tipo DoS.

Port scanning

Il port scanning è una tecnica utilizzata per raccogliere informazioni sui computer connessi in rete. Letteralmente significa “scansione delle porte” e consiste nell’inviare richieste di connessione al computer bersaglio utilizzando pacchetti TCP, UDP e ICMP modellati ad hoc per stabilire quali servizi di rete siano attivi. Una porta si dice “in ascolto” (“listening”) o “aperta” quando vi è un servizio o programma che la usa. Più in dettaglio si può stabilire se una porta è:

• aperta: l’host ha inviato una risposta indicando che un servizio è in ascolto su quella porta;
• chiusa: l’host ha inviato una risposta indicando che le connessioni alla porta saranno rifiutate;
• filtrata: non c’è stata alcuna risposta dall’host, ad esempio in presenza di un firewall.

Di per sé il port scanning non è pericoloso per i sistemi informatici, e viene comunemente usato dagli amministratori nelle procedure di controllo. Rivela però informazioni dettagliate che potrebbero essere usate per predisporre un piano di attacco sfruttando la conoscenza dei servizi attivi e documentandosi su eventuali vulnerabilità note. L’utilizzo di un firewall ben configurato può consentire tuttavia il corretto funzionamento dei sistemi impedendo in tutto o in parte la scansione delle porte e privando gli attacker di uno strumento estremamente utile.