Strategie di attacco

Sicurezza

Difficilmente un attacco informatico è frutto del caso. Nella maggior parte dei casi si tratta infatti del risultato di un’attenta pianificazione e l’assalto si svolge seguendo fasi ben definite

Dobbiamo innanzitutto precisare che nel corso di un attacco informatico il bersaglio non sempre è rappresentato dai sistemi informatici ma, almeno nella fase iniziale, le attenzioni degli attaccanti si rivolgono ai dati anagrafici aziendali ed eventualmente a quelli dei dipendenti. Benchè non esista una procedura standard che gli hacker seguono durante le loro attività illecite possiamo riassumere un loro tipico percorso nei seguenti passi: · Footprinting · Scanning · Enumeration · Accesso · Escalating privilege · Creazione Backdoors · Denial of Service · Copertura tracce Il termine footprintin g è utilizzato anche nel campo della biologia e identifica la procedura di “mappatura” delle sequenze all’interno delle molecole di DNA. Anche nel caso degli attacchi informatici, la tecnica del footprinting si traduce nella “mappatura” del profilo aziendale oggetto dell’attacco. In questa fase gli attaccanti partendo da alcune informazioni di base appartenenti all’obiettivo (a volte basta il semplice nome dell’azienda) e utilizzando un’infinità di strumenti gratuiti (e perfettamente legali) disponibili su Internet, raccolgono il maggior numero possibile di informazioni sulla vittima. Al termine di questa fase l’attaccante per esempio potrà essere in possesso dei numeri di telefono, dell’indirizzo, del range di indirizzi IP e del nome di dominio della società attaccata. Terminata la fase di profilazione dell’obbiettivo, l’attaccante passerà alla fase di scanning che gli consentirà di isolare gli indirizzi IP delle macchine connesse a Internet e dei servizi forniti. Il principio alla base di questa tecnica è quello che presuppone che dove c’e’ un servizio fornito c’e’ una porta TCP o UDP aperta e di conseguenza c’e’ un’applicazione che la gestisce e quindi delle possibili vulnerabilità. Una volta individuate le macchine raggiungibili attraverso Internet l’attaccante nella fase di Enumeration cercherà di capire che tipo di servizi sono presenti sul computer bersaglio. Tramite dei tool (sempre disponibili gratuitamente su Internet) di port scanning l’attaccante individuerà le porte aperte e le applicazioni che le gestiscono. In questa fase oltre ai tools automatici si rivela vincente l’utilizzo di comandi manuali (solitamente Unix/Linux). Questa fase può già essere individuata da firewall e sistemi di rilevamento intrusioni di buon livello, che possono intercettare scansioni sistematiche delle porte TCP e UDP. E’ anche vero che alcuni recenti tools di scansione effettuano l’analisi delle porte in modo casuale. Utilizzando questa tecnica randomica difficilmente i sistemi di difesa saranno in grado d’individuare un comportamento metodico e non segnaleranno l’anomalia. A questo punto l’attacco entra nel vivo e durante la fase di Accesso l’attaccante cerca di penetrare nei sistemi sfruttando le vulnerabilità individuate grazie agli step precedenti, ma anche utilizzando metodi più semplici come per esempio l’individuazione della password di un utente. Benchè possa sembrare quasi impossibile indovinare le password, l’utilizzo congiunto di appositi “dizionari di password” (ovvero un elenco di parole generalmente usate come password), e di tools automatici consente di provare tutte le password dell’elenco fino a trovare quella giusta (questo tipo di attacco tutt’oggi funziona 2 volte su 3). Nel caso in cui la fase precedente si fosse conclusa in modo positivo (per l’attaccante s’intende) l’hacker dovrebbe essere all’interno del sistema, anche se probabilmente come utente normale, un livello di privilegio non sufficiente per compiere attività illecite. L’attaccante attraverso la fase di Escalating privilege cercherà di acquisire i privilegi di amministratore. Per ottenere questo risultato può ancora ricorrere all’utilizzo di tool automatici per indovinare la password di amministratore, oppure sfruttare le vulnerabilità note delle applicazioni in esecuzione sulla macchina conquistata. Un’alternativa è rappresentata dalla tecnica del buffer overflow, ovvero l’hacker cerca di passare una quantità di dati superiore a quella che l’applicazione riesce a gestire, in genere questo causa lo stop dell’applicazione mettendo in grado l’attaccante di entrare automaticamente nel sistema con i privilegi da amministratore. Una volta entrato in possesso delle password necessarie e dei privilegi massimi l’attaccante può operare liberamente nel sistema conquistato, raggiungendo altri sistemi e preparando accessi privilegiat i da utilizzare ogni volta che avrà la necessità di introdursi nuovamente nel sistema. Non è da escludere infatti che la conquista del nostro sistema aziendale rappresenti solo l’obiettivo intermedio di un attacco di ben più vaste proporzioni. A volte la violazione di più sistemi rappresenta infatti l’attività preliminare nella preparazione di attacchi ben più estesi, verso altri obiettivi di maggior interesse. In ogni caso, una volta che l’attaccante è riuscito a penetrare un sistema non può permettersi di dover ripetere tutte le volte la stessa procedura, sarebbe un’enorme perdita di tempo. La soluzione è rappresentata dalle backdoor, ovvero da piccoli programmi che permettono a chi attacca di potersi collegare in maniera quasi trasparente e diretta alla macchina, permettendogli di compiere tutte le operazioni di amministrazione, comprese quelle di estrazione dati. Nel caso in cui il nostro sistema aziendale rappresentasse effettivamente il fine ultimo dell’attacco, l’hacker nella fase di Denial of Service potrà con estrema semplicità avviare o fermare i processi che regolano il funzionamento delle applicazioni arrivando, nei casi più gravi, a provocare danni permanenti che, come unica soluzione, richiederanno la reinstallazione totale del sistema. Infine come tutti i ladri che si rispettino anche l’hacker non deve lasciare tracce, e nella fase di Copertura Tracce l’attaccante si preoccuperà di eliminare tutti i log di sistema dove potrebbero essere state registrate le proprie attività. Non è facile dire quanto duri un attacco in termini di tempo, anche se la fase di analisi potrebbe andare avanti per settimane prima che l’attacco venga effettivamente sferrato, ecco perchè è importante che gli amministratori controllino periodicamente le attività che vengono svolte sulle loro macchine in maniera approfondita cercando di individuare le connessioni sospette.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore