Nuove Forme di Reati Informatici
Approfondimenti tecnici
Angelo Giuseppe de’ Micheli*
Isabella Merzagora Betsos*
Guendalina Gentile° - Giuseppe Tarantino
- Stefano Corti
*Cattedra di Criminologia
(Titolare: Prof.ssa I. Merzagora Betsos)
°Laboratorio di Istopatologia Forense
Istituto di Medicina Legale e delle Assicurazioni
Università degli Studi Milano
Direttore: Prof. A. Farneti
Pharming e Phishing
Si tratta di due differenti tecniche finalizzate
alla sottrazione di dati sensibili (ad esempio
credenziali di Login e password) per ottenere
denaro o per usufruire illegalmente di servizi
Pur trattandosi di tecniche distinte, spesso gli
attacchi più pericolosi prevedono una
efficiente combinazione di strumenti quali
Spyware e Keylogger
Pharming e Phishing
La tecnica del
Pharming sfrutta le
vulnerabilità dei sistemi
di server sui quali si
basa il meccanismo
DNS per la risoluzione
dei nomi di dominio. La
tecnica è denominata
DNS Spoofing ovvero
falsificazione di un
nome di dominio.
Pharming e Phishing
La tecnica del phishing
prevede il DNS
Spoofing per l’invio di
email fasulle e sfrutta
vulnerabilità degli
applicativi lato desktop
per la cattura più o
meno volontaria e
diretta di dati sensibili e
credenziali di accesso
Breve analisi di un semplice caso di Phishing
In questo caso l’attacco di Phishing si limita all’invio di una
email fasulla che invita a seguire un collegamento iperstestuale
per forzare l’utente a inserire le proprie credenziali di Login
all’interno di un falso sito appositamente preparato. La URL
indicata utilizza il semplice protocollo HTTP e il nome host non
corrisponde al reale dominio dell’istituto bancario in questione.
Breve analisi di un semplice caso
Il caso precedentemente analizzato è estremamente semplice, in
quanto prevede solamente la costruzione di un semplice sito e
l’invio di un banale messaggio di posta elettronica che invita un
cliente di un servizio a confermare le proprie credenziali di
accesso
La URL (spesso su semplice protocollo HTTP, anche se viene
indicato nel Link il protocollo HTTPs) può corrispondere a un
dominio di primo o secondo livello spesso simile a quello del
servizio originale oggetto di attacco. Ad esempio:
http://areaprivati.bancaintesa.com/... anziché
https://privati.bancaintesa.it/...
Esempio di reindirizzamento del browser di una
componente specifica della pagina HTML
delimitata dai tag <IFRAME>
In questo caso solo la
componente della pagina
contenente la Form di Login
viene caricata da un server
secondario appartenente al
Pharmer. Di fatto il codice
HTML del resto della pagina
viene inviato al browser
direttamente dal server
corretto. Ricordiamo che
l’utilizzo dei Frameset è stato
deprecato dallo stesso
consorzio W3 che raccomanda
di utilizzare la sintassi CSS e
XHTML
Per informazioni consultare il
sito ufficiale www.w3.org
Vediamo un possibile esempio con un caso concreto.
Ricordiamo che i portali bancari e i relativi servizi on-line sono in
assoluto tra i più sicuri e protetti. Il seguente esempio non intende
riportare un baco nel codice, ma semplicemente mostrare come sia
possibile individuare un elemento tecnico meritevole di
approfondimento.
La pagina web visibile è essenzialmente
basata su HTML 4.01 Transitional. La form
di Login che contiene i campi di testo dove
inserire le proprie credenziali viene invece
caricata successivamente ( HTTPs )
Questo è il codice che delimita la presenza
di un IFRAME (frame flottante)
<iframe src="https://onlinea.unicreditbanca.it/nb/
it/MiniBoxLogin.jsp" width="315" height="22"
marginwidth="0" marginheight="0" scrolling="no"
frameborder="0" title="Codici di autenticazioni per
l'area protetta e riservata privati">
</iframe>
La URL oggetto di attacco di Pharming
potrebbe quindi essere quella specificata
nell’attributo src del tag <iframe>
Ecco dunque che l’utente difficilmente riuscirebbe a rendersi conto che la Form di
Login viene caricata da un server diverso da quello di competenza poiché il codice
HTML della Form stessa è immerso nel codice della pagina principale. La URL può
essere modificata in locale oppure il server DNS adibito alla risoluzione può
essere stato manipolato per forzare il reindirizzamento ad altro dominio.
Vediamo brevemente come sia possibile
mettere in atto un attacco di Phishing o di
Pharming
Abbiamo visto che il caso più semplice consiste nell’invio di messaggi di
posta elettronica che invitano a seguire Link pericolosi e fraudolenti.
Gli indirizzi email di utenti potenziali vittime di attacchi di Phishing
vengono carpiti mediante l’utilizzo di Spyware in esecuzione in background
sul PC locale degli utenti medesimi, che spesso ignorano completamente la
loro presenza sulla propria macchina.
Questi Spyware eseguono un monitoraggio accurato delle attività
dell’utente in rete e dei siti visitati. Provvedono quindi a trasmettere gli
indirizzi a particolari server dedicati, spesso localizzati geograficamente
molto distanti dal paese di origine.
Gli Spyware o Trojan Horse sono spesso “incapsulati” in programmi
shareware o freeware distribuiti gratuitamente sulla Rete.
Il questo modo un Pharmer o un Phisher (oltre ovviamente che decine di
“Spammer”) è in grado di conoscere un potenziale indirizzo email che
utilizza un determinato servizio on-line (es: portali bancari) e inviare così
le proprie email fraudolente.
Vediamo brevemente come sia possibile
prevenire un attacco di Phishing
Mantenere sempre aggiornate le
definizioni di Antivirus e AntiSpyware, prestando attenzione
anche alle eventuali nuove
release distribuite dal produttore
del software.
Ignorare completamente
messaggi di posta elettronica
sospetti e non seguire
collegamenti ipertestuali
all’interno dei messaggi di posta
elettronica.
Preferire Client di posta diversi da
Outlook Express e preferire
soluzioni “Open Source”.
Impostare la visualizzazione delle
email in arrivo su PLAIN-TEXT e
MAI in modalità HTML.
Vediamo brevemente come sia possibile
prevenire un attacco diretto verso i nostri
Personal Computer
Leggere sempre con attenzione le
clausole riportate del contratto di
licenza nel momento in cui si installa
un nuovo software sul proprio personal
computer, con particolare riferimento a
programmi gratuiti e applicativi di file
sharing.
Acquisire un minimo di conoscenza dei
protocolli di rete (TCP/IP) e del
modello ISO/OSI.
Installare un Firewall che agisca anche
da sniffer dei pacchetti in transito (ad
esempio Ethereal) in modo da potere
monitorare in caso di necessità i
protocolli utilizzati da programmi che
comunicano sulla rete e le porte TCP
eventualmente aperte con relativi IP di
destinazione e/o provenienza.
Breve analisi e considerazioni sul
fenomeno dei reati informatici negli anni
2005 e 2006 e Report statistici
Le osservazioni dei fenomeni accaduti negli anni 2005 e 2006 hanno
evidenziato un deciso cambiamento delle motivazioni e degli obiettivi che
sono alla base della produzione e della diffusione dei cosiddetti virus
informatici, malware e più in generale dei codici realizzati al fine di
arrecare danno.
E’ sensibilmente diminuita la produzione di virus (I-Worm) di tipo
tradizionale, mentre è aumentata quella di Spyware e Cavalli di Troia,
anche se nel complesso i codici noti hanno raggiunto l’impressionante
numero di 180.000, proiettato ad oltre 200.000 nel primo semestre del
2006.
Le azioni criminose, a volte, sono addirittura organizzate su larga scala,
attraverso la creazione di reti virtuali di computer dette “Botnet”. Queste
“reti” sono costituite da computer di utenti INCONSAPEVOLI i cui PC sono
stati raggiunti da appositi software. L’attività è anche favorita dal fatto che
la realizzazione di Trojan risulta più semplice e breve delle attività
necessarie alla creazione di un virus o di un Worm.
Grafico che indica il numero di vulnerabilità gestite nel mese di
settembre 2006 dal Centro Elaborazione Dati e dal Servizio di
Sicurezza Informatica di una primaria azienda di credito italiana.
Legenda relativa al grafico che indica il numero di vulnerabilità gestite
nel mese di settembre 2006 dal Centro Elaborazione Dati e dal Servizio
di Sicurezza Informatica di una primaria azienda di credito italiana.
I pericoli maggiori per un’azienda sono rappresentati
non tanto dagli attacchi provenienti dall’esterno,
quanto piuttosto dai cosiddetti Insiders
Un dipendente di un’azienda
può essere in possesso di
conoscenze e di permessi tali
da poter compromettere
l’integrità dei dati aziendali,
eventualmente in
collaborazione con aggressori
esterni, in quanto può fornire
loro tutti gli strumenti per
sfruttare eventuali
vulnerabilità del sistema
informatico o semplicemente
divulgare dati sensibili,
riservati o ad elevata criticità.
Un dipendente di una grossa organizzazione o azienda può
avere motivazioni psicologiche per utilizzare le conoscenze e i
privilegi di accesso alle applicazioni e condurre quindi un
attacco ai danni dell’azienda per la quale lavora o per la quale
ha prestato servizio come collaboratore freelance o come
ex-dipendente
Gli attacchi portati a buon fine
provenienti da esterni di terze
parti a danno di grosse
istituzioni sono decisamente
rari. Spesso i dati riservati
vengono resi noti da
personale interno, ad esempio
gli addetti ai CED oppure
dipendenti con profili aziendali
ad alto livello di accesso ad
applicazioni ed ambienti di
elevata importanza e criticità.
Un breve sguardo alle reti virtuali
criminose denominate “Botnet”
I virus creati per far parte di una Botnet,
non appena assunto il controllo del
sistema, devono poter fornire al proprio
autore i dati relativi al sistema infettato.
Questo avviene sfruttando i canali IRC e
connettendosi ad un determinato canale,
situato su un dato server, il quale spesso è
protetto da una password per dare accesso
esclusivo all’autore. Tramite il canale di
chat, l’autore è in grado di controllare
contemporaneamente tutti i sistemi infetti
collegati al canale e impartire ordini a tutti
queste macchine (a volte possono essere
decine, centinaia, se non migliaia). In
questo modo vengono ad esempio sferrati
i cosiddetti attacchi DoS
(Denial of Service – Negazione di Servizio)
Vediamo brevemente alcune nuove forme di
malware attualmente in circolazione
Trojan-Downloader Attendono che l’utente si colleghi a Internet
e scaricano di nascosto programmi di terze parti, di solito Trojan
di altra natura.
Backdoor Aprono una “porta” (in genere una porta TCP non
assegnata da IANA) di accesso al computer e di mettono in
ascolto, senza che l’utente conceda il permesso o ne sia a
conoscenza, in attesa che l’hacker o altri prendano il controllo del
PC, integrandolo in una Botnet
Trojan-PSW una volta attivi ricercano password e altre
informazione sensibili presenti all’interno del computer dell’utente,
normalmente rintracciabili in file standard come gli archivi di
password registrate dal browser o le password di accesso ai server
di posta elettronica registrate nel client di posta utilizzato (inutile
dire che l’attenzione è rivolta in modo specifico a Microsoft
Internet Explorer e Outlook Express)
Vediamo sinteticamente alcune nuove forme
di malware attualmente in circolazione
Trojan-Clickers I Trojan Clickers (detti anche Hijackers ovvero
“dirottatori”) modificano la pagina di avvio dei più comuni browser
inserendovi un sito – di solito di natura erotica o addirittura
pornografica – con cui l’hacker si è preventivamente accordato.
Ogni volta che l’utente visita il sito, anche involontariamente,
l’hacker guadagna un compenso. Sempre più spesso i TrojanClickers fanno apparire le pagine come pop-up durante la normale
consultazione in Internet dell’utente.
E’ consigliabile prestare attenzione poiché pop-up di questo
tipo possono essere scatenate anche dall’apertura della
home-page di un portale di servizi a pagamento. Tale popup fasulla potrebbe contenere form di login false o
pericolose.
Attenzione ad eventuali finestre di Pop-Up che si
dovessero automaticamente aprire in
corrispondenza del caricamento della pagina
principale di un portale di servizi.
E’ consigliabile prestare
attenzione poiché PopUp di questo tipo
possono essere
scatenate anche
dall’apertura della home
page di un portale di
servizi a pagamento.
Tali Pop-Up fasulle
vengono in genere
scaricate da un
differente server
controllato da un
Pharmer e potrebbero
contenere Form di Login
false o pericolose.
Vediamo brevemente alcune nuove forme di
malware attualmente in circolazione
Trojan Proxy Come le backdoor, essi aprono una porta nel PC
che permette l’entrata di un hacker, ma in questo caso lo scopo
dell’hacker sarà quello di collegarsi a Internet in modalità anonima
(mascheramento dell’indirizzo IP o tecniche di IP Spoofing).
Qualsiasi attività dell’hacker, infatti, avverrà attraverso il computer
dell’ignaro utente. In tal modo, se la catena di IP coinvolti in tale
attività è numerosa, è anche possibile tentare con successo di
sviare le eventuali indagini giudiziarie.
Trojan Spy (detti anche keylogger) estremamente pericolosi
Simili ai Trojan-PSW, i Keylogger hanno un raggio d’azione più
ampio, visto che possono essere programmati per carpire
informazioni specifiche o per memorizzare in appositi file tutti i
tasti digitati sulla tastiera (NON SOLO DI PC!!) e inviare poi tali
informazioni all’hacker, che avrà quindi la possibilità di ottenere un
grande numero di dati potenzialmente riservati.
Osserviamo più attentamente il fenomeno
dei cosiddetti Keylogger
I Keylogger sono strumenti hardware o
software in grado di intercettare e
registrare tutto ciò che un utente
digita su una tastiera.
La tastiera può essere quella di un
Personal Computer oppure di un
PinPad per operazioni di vario tipo o
addirittura qualsiasi tipo di periferica di
immissione dati, persino la tastiera di
un telefono cellulare.
I Keylogger hardware sono dispositivi,
spesso di minimo ingombro, installati
fisicamente sulle macchine coinvolte.
I Keylogger software sono Trojan
spesso inviati per email che agiscono
in background e inviano i file di testo
con i dati catturati mediante protocolli
FTP (porta 22 TCP) oppure
appoggiandosi al browser (porta 80) o
anche via e-mail utilizzando la porta
25 sul server SMTP dell’utente. Tali
porte sono spesso aperte anche in
presenza di eventuali firewall.
Sistemi informatici suscettibili di infezione e
tecniche di mascheramento basate sulla
compressione degli eseguibili virali
Le principali categorie di virus
intesi come file eseguibili, sono
quasi sempre progettati per i
sistemi operativi di tipo desktop
quali MS Windows o distribuzioni
particolari di Linux. Sono
piuttosto rari spyware, trojan o
virus realizzati per i grossi sistemi
di elaborazione centralizzati di
tipo IBM Mainframe. (Sistemi
operativi OS/390, z/OS)
Spesso i file eseguibili dannosi
vengono compressi con particolari
tecniche per mascherare la loro
presenza anche alle sonde degli
antivirus (spesso se non
tempestivamente aggiornati)
Tecniche di mascheramento di malware e
fenomeno Rootkit
Riflessioni separate devono essere fatte per i Rootkit, ossia per quel
software in grado di mascherare la propria presenza in un sistema grazie a
sofisticate tecniche di STEALTH. Benchè noti da molto tempo in ambiente
Unix, i Rootkit hanno iniziato a fare la loro comparsa in ambiente
Windows, già da alcuni anni. Nel 2005 il loro uso è stato maggiore.
Lo sviluppo di un rootkit è una procedura complessa, quindi non sempre
giustificabile sul piano economico. Tuttavia le sue potenzialità di
mascheramento sono notevoli e non è escluso che in futuro essi vengano
utilizzati per aumentare la vita media e la resistenza di una Botnet.
In effetti, grazie al codice sorgente e ai programmi già pronti per l’uso
distribuiti da siti web, gli autori di malware possono facilmente reperire
software ed informazioni per integrare dei rootkit nei Trojan Horses.
Breve considerazione sul fenomeno dello
Spam e dell’ingegneria sociale
L’uso dello spam, per il quale non si registrano
diminuzioni di tendenze rispetto ai precedenti
anni, ha permesso di raffinare tecniche finalizzate
ad ingannare gli utenti e sottrarre loro
informazioni puntando sulla buona fede delle
persone. Anche le grandi tragedie che la
collettività mondiale ha subito negli scorsi anni
sono state usate in tale ambito
Le notizie inerenti l’uragano Katrina sono state
prese come spunto per generare messaggi di
Spam e Phishing, di cui almeno uno contenente
un collegamento verso un sito che, sfruttando una
nota vulnerabilità di IE, scaricava ed installava un
Trojan nel PC.
Qualche mese prima, attacchi analoghi
sfruttarono il moto di solidarietà verso la tragedia
dello TSUNAMI nell’Oceano Indiano.
Vediamo ora in dettaglio alcune tecniche di
attacco in grado di compromettere la sicurezza del
nostro PC o della rete della nostra azienda.
Cross Site Scripting
La grande diffusione dei siti a contenuto dinamico che utilizzano linguaggi lato server
(come ASP, JSP e PHP) ha favorito lo sviluppo di particolari tecniche di hacking ideate per
colpire gli utilizzatori delle applicazioni web. Una delle tecniche più conosciute prende il
nome di Cross Site Scripting, spesso abbreviata con XSS.
Il CSS permette ad un aggressore di inserire codice arbitrario come input di una
applicazione web, così da modificarne il comportamento per perseguire i propri fini illeciti.
Se uno script consente questo tipo di attacco, è facile confezionare una URL ad hoc e
inviarla all'utente, il quale, ignaro di questa modifica, crederà di utilizzare il normale
servizio offerto dal sito web vulnerabile. Pagine web o messaggi di posta elettronica in
formato HTML sono i mezzi ideali per portare a termine l'attacco.
I pericoli del Cross Site Scripting
Quando utilizziamo un servizio che richiede l'inserimento di username e password, spesso
questi dati vengono registrati sul nostro computer sotto forma di Cookie (un file di testo)
per non doverli digitare ogni volta. Per ovvi motivi di sicurezza, i dati contenuti nel cookie
sono accessibili solo dal sito web che li ha creati. Ma supponiamo che il sito in questione
utilizzi una applicazione vulnerabile al XSS: l'aggressore potrà iniettare un semplice
frammento di codice JavaScript che legge il cookie dell'utente e lo riferisce. Il browser
dell'utente permetterà la lettura, perchè in effetti il JavaScript viene eseguito da un sito
autorizzato a leggere il cookie medesimo.
Vediamo in dettaglio alcune tecniche di attacco in
grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.
Cross Site Scripting
Il Cross Site Scripting solitamente richiede un intervento attivo da parte della vittima
per poter funzionare: anche il click su un collegamento in una pagina web o in un
messaggio di posta elettronica in formato HTML può nascondere insidie di questo
tipo.
Qualsiasi tipo di applicazione web può essere a rischio, se non implementa opportuni
controlli sull'input degli utenti.
Vediamo una semplice classificazione in base all'origine del programma:
Script semplici: la relativa semplicità dei moderni linguaggi lato server permette la creazione di script da
utilizzare sui siti web personali. Spesso però le tecniche basilari della programmazione sicura non sono
conosciute e gli script offrono molti punti vulnerabili agli attacchi di XSS.
Applicazioni web diffuse: le applicazioni web create appositamente per essere diffuse e utilizzate in
migliaia di siti (forum, chat, sistemi di gestione dei portali) solitamente sono sviluppate con un maggiore
attenzione ai problemi della sicurezza. Ciò non esclude la scoperta periodica di nuove sviste nella
programmazione che aprono le porte al Cross Site Scripting.
Server web: ancora più pericolosi sono i bug XSS quando riguardano i server web, applicazioni molto
diffuse e che solitamente non lasciano presagire la vulnerabilità a questo tipo di attacco. L'unico
vantaggio in questo caso è la possibilità di accorgersi tempestivamente dell'attacco in corso, tramite
l'analisi dei log del server.
Vediamo in dettaglio alcune tecniche di attacco in
grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.
Attacchi DoS – Denial of Service
I centri di monitoraggio e i grandi siti dedicati alla sicurezza
informatica stanno segnalando da diverse settimane un
incremento preoccupante di attacchi di tipo DoS.
Il DoS, acronimo di Denial of Service, è un tipo di minaccia che
consiste nell'occupare le risorse di un sistema online rendendolo
inutilizzabile al pubblico, per esempio azzerando tutta la banda a
disposizione. Inizialmente si trattava di una forma di attacco
realizzata come curiosità tecnologica da parte di 'cracker'
convenzionali oppure come arma di dissenso verso istituzioni o
imprese commerciali. E' rimasto per esempio famoso l'attacco
DoS che rese inaccessibile per diversi giorni il sito ufficiale di
SCO a seguito della sua causa sulle proprietà intellettuali di
Linux: l'azienda fu costretta a ricorrere a un altro dominio per
continuare a essere presente online.
Vediamo in dettaglio alcune tecniche di attacco in
grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.
Attacchi DoS – Denial of Service
Per generare un attacco DoS è necessario violare
un grande numero di computer di ignari utenti,
prenderne il controllo e fare in modo che questi
sviluppino traffico verso il sistema designato per
l’attacco finale.
In questi attacchi vengono impiegati pacchetti
ICMP ed altri protocolli per la diagnosi delle reti.
Inviando infatti milioni di Ping da altrettanti
computer sparsi per il mondo si può determinare
l’azzeramento totale di molti portali e servizi della
Rete.
In questo tipo di attacco il rapporto è però di tipo
“uno a uno”. Un pacchetto in uscita da un sistema
“pedina” comporta la ricezione di un solo
pacchetto nel sistema sotto attacco. Se per
mettere in ginocchio la vittima servono un milione
di pacchetti al secondo, sarà necessario inviare
un numero pari di pacchetti dai sistemi controllati.
Servono quindi parecchi computer per avere
successo.
Visto l’accresciuto interesse per la sicurezza
informatica non è detto che sia semplice trovare
un numero così elevato di computer client in cui
sia possibile inoculare il codice maligno che
genera traffico. Anche trovandoli, buona parte dei
sistemi potrebbe essere “ripulita” in breve tempo
da antivirus, nuove patch di sicurezza o da tecnici
e sistemisti specializzati.
Vediamo in dettaglio alcune tecniche di attacco in
grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.
IP Spoofing – Falsificazioni di indirizzo IP
In una rete di computer, con il termine di IP spoofing si indica una tecnica tramite la quale si crea
un pacchetto IP nel quale viene falsificato l’indirizzo IP del mittente.
Nell'header di un pacchetto IP si trova uno specifico campo, il Source Address, il cui valore indica
l‘indirizzo IP del mittente. Semplicemente modificando questo campo si può falsificare un
pacchetto IP in modo tale da apparire come se fosse stato trasmesso da una macchina differente
Questa tecnica può essere utilizzata per superare alcune tecniche difensive contro le intrusioni, in
primis quelle basate sull'autenticazione dell'indirizzo IP. Infatti, è normale che in intranet aziendali
l'autenticazione ad alcuni servizi avvenga sulla base dell'indirizzo IP, senza l'utilizzo di altri sistemi
(come utente e password). Questo tipo di attacco ha tanto più successo tanto più i rapporti di
"fiducia" tra due o più macchine sono forti.
Una delle difese che si possono attuare contro questo tipo di attacco è l'utilizzo di packet filtering,
impostando opportune regole sulla base delle quali viene deciso quali pacchetti dall'esterno
possono essere trasmessi all'interno della rete aziendale e viceversa. Nello specifico caso, per
evitare un attacco basato sullo spoofing basta impostare una serie di regole che vieti il passaggio
dall'esterno verso l'interno della rete aziendale di pacchetti IP che abbiano come indirizzo IP
sorgente quello di una macchina interna. Ovviamente si possono impostare anche delle regole in
modo tale da evitare attacchi di spoofing dall'interno verso l'esterno.
L'IP spoofing risulta essere una tecnica inutile per ottenere anonimato (come invece molti
credono), in quanto chi invia il pacchetto non sarà, generalmente, in grado di proseguire in modo
coerente la comunicazione, dato che le risposte saranno inviate all'indirizzo IP modificato.
Si tratta di una tecnica utilizzata principalmente durante attacchi di tipo DoS e principalmente nella
loro variante distribuita (o DDoS), per verificare che gli algoritmi e le policy di routing siano
impostate correttamente.
Vediamo in dettaglio alcune tecniche di attacco in
grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.
Port Scanning
Il Port Scanning è una tecnica utilizzata per raccogliere informazioni su un computer
connesso ad una rete.
Letteralmente significa "scansione delle porte" e consiste nell'inviare richieste di connessione al
computer bersaglio (soprattutto pacchetti TCP, UDP e ICMP creati ad arte): elaborando le risposte
è possibile stabilire (anche con precisione) quali servizi di rete siano attivi su quel computer. Una
porta si dice "in ascolto" ("listening") o "aperta" quando vi è un servizio o programma che la usa.
Il risultato della scansione di una porta rientra solitamente in una delle seguenti categorie:
aperta (accepted): l'host ha inviato una risposta indicando che un servizio è in ascolto su quella
porta
chiusa (denied): l'host ha inviato una risposta indicando che le connessioni alla porta saranno
rifiutata
bloccata (dropped): non c'è stata alcuna risposta dall'host
filtrata (filtered): rileva la presenza di un Firewall o di un ostacolo di rete in grado di bloccare
l’accesso alla porta impedendo a Nmap di individuarne lo stato.
Di per sé il port scanning non è pericoloso per i sistemi informatici, e viene comunemente usato
dagli amministratori di sistema per effettuare controlli e manutenzione. Rivela però informazioni
dettagliate che potrebbero essere usate da un eventuale attaccante per preparare facilmente una
tecnica mirata finalizzata a destabilizzare la sicurezza del sistema, pertanto viene posta molta
attenzione dagli amministratori a come e quando vengono effettuati port scan verso i computer
della loro rete. Un buon amministratore di sistema deve sapere che un firewall ben configurato
permette alle macchine di svolgere tutti i loro compiti, ma rende difficile (se non impossibile) la
scansione delle porte.
Considerazioni finali e alcune
misure di sicurezza e prevenzione
Le tecnologie informatiche sono ormai
parte integrante delle nostre attività
quotidiane. La Rete svolge funzioni
sempre più importanti non solo quale
mezzo di scambio di semplici
informazioni statiche, ma soprattutto
permette lo svolgimento di attività
estremamente diversificate. I nostri
computer, oltre ad essere in alcuni casi
un semplice strumento di comunicazione
e svago, diventano sempre più importanti
e funzionali per la fruizione di varie
tipologie di servizi.
Citiamo a titolo di esempio
alcuni casi reali destinati ad
assumere sempre più
importanza nel prossimo,
immediato futuro:
Considerazioni finali e alcune
misure di sicurezza e prevenzione
Servizi Bancari e
Servizi di Pubbliche
Amministrazioni
Possibilità di svolgere
quasi tutte le operazioni
sul proprio conto
corrente, inclusa la
compravendita di titoli e
azioni, collegandosi
tramite Internet al portale
del proprio istituto di
credito.
Considerazioni finali e alcune
misure di sicurezza e prevenzione
Portali di Commercio
Elettronico
La relativa semplicità di
implementazione di procedure
automatizzate offerte da terze parti
(ad esempio il servizio PayPal)
permette anche alla piccola
azienda di offrire al cliente un
servizio di pagamento sicuro ed
affidabile tramite carta di credito
per l'acquisto di beni e servizi vari.
Considerazioni finali e alcune
misure di sicurezza e prevenzione
Portali di Facoltà Universitarie
In questo caso non c'è bisogno di
commento. L'uso del PC è assolutamente
indispensabile per le iscrizioni agli esami,
per accedere ai servizi di eLearning della
propria facoltà (laddove presenti e
disponibili) e per tenere sotto controllo il
proprio piano di studi.
Musica, Cinema e Intrattenimento
In Rete sono presenti moltissimi portali che
offrono il download di musica o più in
generale di contenuti multimediali mediante
pagamento tramite carta di credito.
Siti Aziendali e Servizi diversi
Anche in questo caso i servizi presenti
sottoforma di applicativi web sono
numerosissimi e coprono anche aree e
campi estremamente specifici.
Considerazioni finali e alcune
misure di sicurezza e prevenzione
Paradossalmente l'utilizzo di
questi strumenti,
estremamente semplici ed
immediati soprattutto per le
nuove generazioni,
allontanano sempre di più
l'utente finale dalle
conoscenze specifiche di ciò
che avviene all'interno delle
procedure informatiche (fatta
ovviamente eccezione per
programmatori, analisti,
sistemisti, tecnici e così via)
Il grado di sicurezza maggiore per un sistema
informatico è direttamente proporzionale alla
preparazione, alla formazione personale e
competenza tecnica della persona che lo
utilizza
Brevi misure di sicurezza
Per questo motivo, secondo l'opinione di chi scrive, è essenziale formare le
nuove generazioni non tanto nel semplice utilizzo del proprio PC (S.O.
Windows, Pacchetto Office). Queste conoscenze sono già in possesso di molti
giovani, pur non avendo nel proprio bagaglio culturale la conoscenza di una
terminologia tecnica persino elementare.
Ai giovani serve la formazione etica e un minimo di conoscenza tecnica che
vada oltre la semplice manualità. Non serve a nulla sapere cambiare una
scheda video, quando non si conosce nemmeno il significato del termine
"protocollo". La formazione etica è ancora più importante, laddove il mercato a
volte propone software ludico troppe volte di estrema violenza e brutalità e
stampa specializzata (nonché siti internet) che invitano il giovane a diventare un
potenziale cracker (o meglio "Script Kid" visto che molti programmi "malware"
vengono distribuiti già confezionati e pronti per l'uso). In sostanza, cerchiamo di
non utilizzare complesse tecnologie solamente per mandare inutili messaggi di
posta elettronica o MMS. Si tratta di strumenti potenzialmente pericolosi anche
per i sistemi operativi a bordo di telefoni cellulari e il fenomeno purtroppo
affligge anche fasce di età ben più elevate. Si dovrebbero anche evitare
messaggi di posta elettronica assolutamente inutili, volgari e magari contenenti
elementi che SPESSO INCONSAPEVOLEMENTE DA PARTE DEL MITTENTE
compromettono la sicurezza dei PC destinatari.
Brevi misure di sicurezza
Per un'azienda, anche se si tratta di un piccola media impresa, la
responsabilità dei sistemi informativi deve essere affidata a
personale specializzato e di assoluta fiducia, in quando allo stato
attuale, nessun dipendente adibito ad altre mansioni si dovrebbe
occupare anche dell'aspetto informatico e tecnologico della rete
e delle macchine presenti all'interno dell'azienda, specialmente
se i dati elaborati rappresentano informazioni sensibili o di
elevata riservatezza.
Nel caso di utenti privati, purtroppo, mancano spesso adeguate
conoscenze in termini di sicurezza e di conoscenze
hardware/software. Conoscenze che dovrebbero essere in
possesso di chiunque utilizzi il PC non limitatamente a scopi
ludici o di intrattenimento.
Brevi misure di sicurezza
Elenchiamo, per concludere, una sequenza di semplici ed
elementari regole da seguire:
Non utilizzare MAI un personal computer per
accedere a servizi di portali bancari, di trading online o comunque applicazioni web direttamente
connesse con l'amministrazione del proprio
portafoglio, laddove la medesima macchina sia stata
precedentemente (anche a distanza di tempo)
utilizzata per visionare siti con contenuti erotici e/o
pornografici oppure portali di intrattenimento con
download di salvaschermi, suonerie per cellulari ed
altre trivialità analoghe, soprattutto se la
navigazione è stata eseguita utilizzando il browser
Microsoft Internet Explorer.
Brevi misure di sicurezza
Elenchiamo, per concludere, una sequenza di semplici ed
elementari regole da seguire:
Installare un Antivirus, mantenere periodicamente aggiornate le release
e le definizioni ed eseguire scansioni regolari dell'intero sistema.
Installare un programma anti-spyware con periodici aggiornamenti ed
eseguire la scansione dell'intero sistema (quindi di TUTTE le partizioni
eventualmente presenti sui dischi) almeno una volta ogni dieci giorni.
Installare un firewall e prendere dimestichezza con i più comuni
protocolli TCP/IP e sulle "well-known ports" assegnate da IANA. Il
firewall deve anche potere eseguire la cattura dei pacchetti generati dal
traffico sviluppato durante l'attività in rete e agire da sniffer sui dati in
transito, eseguendo analisi di protocolli, porte, indirizzi IP e dump dei
pacchetti in entrata e in uscita. I report generati da tali sonde devono
essere memorizzati in appositi files di Log ed esaminati
periodicamente.
Brevi misure di sicurezza
Elenchiamo, per concludere, una sequenza di semplici ed
elementari regole da seguire:
Verificare periodicamente i files di Log delle sonde alla ricerca di
applicazioni che possano avere effettuato un hijacking, ovvero
che si siano appoggiate ad altre applicazioni (un esempio tipico
sono le funzionalità FTP di IE) cui è stata data l'autorizzazione ad
accedere alla rete in modo permanente, per propagare dati
sensibili eventualmente catturati da Keylogger o Trojan. Questo è
un punto di ESTREMA IMPORTANZA.
Il firewall dovrebbe anche prevedere la possibilità di pingare
indirizzi IP sospetti, segnalare eventuali port scan diretti alla
propria macchina e soprattutto eseguire in modalità GUI il
TRACERT di un IP non identificato con eventualmente
l'interrogazione del WHOIS.
Evitare le reti Wireless, soprattutto negli uffici. Non connettersi
mai a Internet passando attraverso un Access Point senza la
presenza di un Firewall e senza avere preventivamente eseguito
la configurazione per la cifratura dei dati in transito.
Brevi misure di sicurezza
Elenchiamo, per concludere, una sequenza di semplici ed
elementari regole da seguire:
Nel caso di piccole reti domestiche o comunque di tipo SOHO è
opportuno dedicare una macchina con a bordo un server Proxy in
grado di filtrare tutto il traffico sviluppato dai client in maniera del tutto
analoga al firewall (che peraltro deve essere installato anche su
ciascun PC). E' opportuno dedicare anche un po' di tempo alla
configurazione di un "web-washer“, ossia un applicativo software in
grado di eseguire un'approfondita analisi del codice HTML e Javascript
che compone la pagina richiesta, prima che la medesima pagina venga
visualizzata nel browser, alla ricerca di collegamenti ipertestuali sospetti
o determinate parole chiave stabilite dall'amministratore di sistema.
Nel caso di transazioni su portali di commercio elettronico (specie se
poco conosciuti o poco attendibili) verificare SEMPRE l'utilizzo del
protocollo HTTPs in tutta la catena di immissione dati e verificare
SEMPRE la URL presente nella barra degli indirizzi del browser.
Utilizzare preferibilmente le carte di credito prepagate (in grado di
generare numeri di carte di credito virtuali, a scadenza e di importo
limitato) e in ogni caso non utilizzare MAI la propria carta di credito su
siti di commercio elettronico poco attendibili o poco conosciuti.
Brevi misure di sicurezza
Elenchiamo, per concludere, una sequenza di semplici ed
elementari regole da seguire:
Evitare di inviare messaggi di posta elettronica con contenuti
multimediali complessi, come applet Java, animazioni
shockwave e così via e sottoporre a scansione automatica ogni
allegato in uscita. Spesso inviando questi inutili e futili messaggi
può accadere che il mittente invia INCOSAPEVOLMENTE anche
varie tipologie di Script pericolosi o malware di vario tipo,
soprattutto se l'utente destinatario visualizza il messaggio
direttamente in formato HTML all'interno di Outlook (Express).
Preferire sempre i formati di posta in PLAIN TEXT piuttosto che
messaggi composti in HTML, come se fossero pagine web.
Spesso infatti questi messaggi possono contenere codice che
scarica dati da collegamenti contenuti all'interno del messaggio
stesso e attivati immediatamente una volta che la pagina che
compone il messaggio viene visualizzata.