Nuove Forme di Reati Informatici Approfondimenti tecnici Angelo Giuseppe de’ Micheli* Isabella Merzagora Betsos* Guendalina Gentile° - Giuseppe Tarantino - Stefano Corti *Cattedra di Criminologia (Titolare: Prof.ssa I. Merzagora Betsos) °Laboratorio di Istopatologia Forense Istituto di Medicina Legale e delle Assicurazioni Università degli Studi Milano Direttore: Prof. A. Farneti Pharming e Phishing Si tratta di due differenti tecniche finalizzate alla sottrazione di dati sensibili (ad esempio credenziali di Login e password) per ottenere denaro o per usufruire illegalmente di servizi Pur trattandosi di tecniche distinte, spesso gli attacchi più pericolosi prevedono una efficiente combinazione di strumenti quali Spyware e Keylogger Pharming e Phishing La tecnica del Pharming sfrutta le vulnerabilità dei sistemi di server sui quali si basa il meccanismo DNS per la risoluzione dei nomi di dominio. La tecnica è denominata DNS Spoofing ovvero falsificazione di un nome di dominio. Pharming e Phishing La tecnica del phishing prevede il DNS Spoofing per l’invio di email fasulle e sfrutta vulnerabilità degli applicativi lato desktop per la cattura più o meno volontaria e diretta di dati sensibili e credenziali di accesso Breve analisi di un semplice caso di Phishing In questo caso l’attacco di Phishing si limita all’invio di una email fasulla che invita a seguire un collegamento iperstestuale per forzare l’utente a inserire le proprie credenziali di Login all’interno di un falso sito appositamente preparato. La URL indicata utilizza il semplice protocollo HTTP e il nome host non corrisponde al reale dominio dell’istituto bancario in questione. Breve analisi di un semplice caso Il caso precedentemente analizzato è estremamente semplice, in quanto prevede solamente la costruzione di un semplice sito e l’invio di un banale messaggio di posta elettronica che invita un cliente di un servizio a confermare le proprie credenziali di accesso La URL (spesso su semplice protocollo HTTP, anche se viene indicato nel Link il protocollo HTTPs) può corrispondere a un dominio di primo o secondo livello spesso simile a quello del servizio originale oggetto di attacco. Ad esempio: http://areaprivati.bancaintesa.com/... anziché https://privati.bancaintesa.it/... Esempio di reindirizzamento del browser di una componente specifica della pagina HTML delimitata dai tag <IFRAME> In questo caso solo la componente della pagina contenente la Form di Login viene caricata da un server secondario appartenente al Pharmer. Di fatto il codice HTML del resto della pagina viene inviato al browser direttamente dal server corretto. Ricordiamo che l’utilizzo dei Frameset è stato deprecato dallo stesso consorzio W3 che raccomanda di utilizzare la sintassi CSS e XHTML Per informazioni consultare il sito ufficiale www.w3.org Vediamo un possibile esempio con un caso concreto. Ricordiamo che i portali bancari e i relativi servizi on-line sono in assoluto tra i più sicuri e protetti. Il seguente esempio non intende riportare un baco nel codice, ma semplicemente mostrare come sia possibile individuare un elemento tecnico meritevole di approfondimento. La pagina web visibile è essenzialmente basata su HTML 4.01 Transitional. La form di Login che contiene i campi di testo dove inserire le proprie credenziali viene invece caricata successivamente ( HTTPs ) Questo è il codice che delimita la presenza di un IFRAME (frame flottante) <iframe src="https://onlinea.unicreditbanca.it/nb/ it/MiniBoxLogin.jsp" width="315" height="22" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" title="Codici di autenticazioni per l'area protetta e riservata privati"> </iframe> La URL oggetto di attacco di Pharming potrebbe quindi essere quella specificata nell’attributo src del tag <iframe> Ecco dunque che l’utente difficilmente riuscirebbe a rendersi conto che la Form di Login viene caricata da un server diverso da quello di competenza poiché il codice HTML della Form stessa è immerso nel codice della pagina principale. La URL può essere modificata in locale oppure il server DNS adibito alla risoluzione può essere stato manipolato per forzare il reindirizzamento ad altro dominio. Vediamo brevemente come sia possibile mettere in atto un attacco di Phishing o di Pharming Abbiamo visto che il caso più semplice consiste nell’invio di messaggi di posta elettronica che invitano a seguire Link pericolosi e fraudolenti. Gli indirizzi email di utenti potenziali vittime di attacchi di Phishing vengono carpiti mediante l’utilizzo di Spyware in esecuzione in background sul PC locale degli utenti medesimi, che spesso ignorano completamente la loro presenza sulla propria macchina. Questi Spyware eseguono un monitoraggio accurato delle attività dell’utente in rete e dei siti visitati. Provvedono quindi a trasmettere gli indirizzi a particolari server dedicati, spesso localizzati geograficamente molto distanti dal paese di origine. Gli Spyware o Trojan Horse sono spesso “incapsulati” in programmi shareware o freeware distribuiti gratuitamente sulla Rete. Il questo modo un Pharmer o un Phisher (oltre ovviamente che decine di “Spammer”) è in grado di conoscere un potenziale indirizzo email che utilizza un determinato servizio on-line (es: portali bancari) e inviare così le proprie email fraudolente. Vediamo brevemente come sia possibile prevenire un attacco di Phishing Mantenere sempre aggiornate le definizioni di Antivirus e AntiSpyware, prestando attenzione anche alle eventuali nuove release distribuite dal produttore del software. Ignorare completamente messaggi di posta elettronica sospetti e non seguire collegamenti ipertestuali all’interno dei messaggi di posta elettronica. Preferire Client di posta diversi da Outlook Express e preferire soluzioni “Open Source”. Impostare la visualizzazione delle email in arrivo su PLAIN-TEXT e MAI in modalità HTML. Vediamo brevemente come sia possibile prevenire un attacco diretto verso i nostri Personal Computer Leggere sempre con attenzione le clausole riportate del contratto di licenza nel momento in cui si installa un nuovo software sul proprio personal computer, con particolare riferimento a programmi gratuiti e applicativi di file sharing. Acquisire un minimo di conoscenza dei protocolli di rete (TCP/IP) e del modello ISO/OSI. Installare un Firewall che agisca anche da sniffer dei pacchetti in transito (ad esempio Ethereal) in modo da potere monitorare in caso di necessità i protocolli utilizzati da programmi che comunicano sulla rete e le porte TCP eventualmente aperte con relativi IP di destinazione e/o provenienza. Breve analisi e considerazioni sul fenomeno dei reati informatici negli anni 2005 e 2006 e Report statistici Le osservazioni dei fenomeni accaduti negli anni 2005 e 2006 hanno evidenziato un deciso cambiamento delle motivazioni e degli obiettivi che sono alla base della produzione e della diffusione dei cosiddetti virus informatici, malware e più in generale dei codici realizzati al fine di arrecare danno. E’ sensibilmente diminuita la produzione di virus (I-Worm) di tipo tradizionale, mentre è aumentata quella di Spyware e Cavalli di Troia, anche se nel complesso i codici noti hanno raggiunto l’impressionante numero di 180.000, proiettato ad oltre 200.000 nel primo semestre del 2006. Le azioni criminose, a volte, sono addirittura organizzate su larga scala, attraverso la creazione di reti virtuali di computer dette “Botnet”. Queste “reti” sono costituite da computer di utenti INCONSAPEVOLI i cui PC sono stati raggiunti da appositi software. L’attività è anche favorita dal fatto che la realizzazione di Trojan risulta più semplice e breve delle attività necessarie alla creazione di un virus o di un Worm. Grafico che indica il numero di vulnerabilità gestite nel mese di settembre 2006 dal Centro Elaborazione Dati e dal Servizio di Sicurezza Informatica di una primaria azienda di credito italiana. Legenda relativa al grafico che indica il numero di vulnerabilità gestite nel mese di settembre 2006 dal Centro Elaborazione Dati e dal Servizio di Sicurezza Informatica di una primaria azienda di credito italiana. I pericoli maggiori per un’azienda sono rappresentati non tanto dagli attacchi provenienti dall’esterno, quanto piuttosto dai cosiddetti Insiders Un dipendente di un’azienda può essere in possesso di conoscenze e di permessi tali da poter compromettere l’integrità dei dati aziendali, eventualmente in collaborazione con aggressori esterni, in quanto può fornire loro tutti gli strumenti per sfruttare eventuali vulnerabilità del sistema informatico o semplicemente divulgare dati sensibili, riservati o ad elevata criticità. Un dipendente di una grossa organizzazione o azienda può avere motivazioni psicologiche per utilizzare le conoscenze e i privilegi di accesso alle applicazioni e condurre quindi un attacco ai danni dell’azienda per la quale lavora o per la quale ha prestato servizio come collaboratore freelance o come ex-dipendente Gli attacchi portati a buon fine provenienti da esterni di terze parti a danno di grosse istituzioni sono decisamente rari. Spesso i dati riservati vengono resi noti da personale interno, ad esempio gli addetti ai CED oppure dipendenti con profili aziendali ad alto livello di accesso ad applicazioni ed ambienti di elevata importanza e criticità. Un breve sguardo alle reti virtuali criminose denominate “Botnet” I virus creati per far parte di una Botnet, non appena assunto il controllo del sistema, devono poter fornire al proprio autore i dati relativi al sistema infettato. Questo avviene sfruttando i canali IRC e connettendosi ad un determinato canale, situato su un dato server, il quale spesso è protetto da una password per dare accesso esclusivo all’autore. Tramite il canale di chat, l’autore è in grado di controllare contemporaneamente tutti i sistemi infetti collegati al canale e impartire ordini a tutti queste macchine (a volte possono essere decine, centinaia, se non migliaia). In questo modo vengono ad esempio sferrati i cosiddetti attacchi DoS (Denial of Service – Negazione di Servizio) Vediamo brevemente alcune nuove forme di malware attualmente in circolazione Trojan-Downloader Attendono che l’utente si colleghi a Internet e scaricano di nascosto programmi di terze parti, di solito Trojan di altra natura. Backdoor Aprono una “porta” (in genere una porta TCP non assegnata da IANA) di accesso al computer e di mettono in ascolto, senza che l’utente conceda il permesso o ne sia a conoscenza, in attesa che l’hacker o altri prendano il controllo del PC, integrandolo in una Botnet Trojan-PSW una volta attivi ricercano password e altre informazione sensibili presenti all’interno del computer dell’utente, normalmente rintracciabili in file standard come gli archivi di password registrate dal browser o le password di accesso ai server di posta elettronica registrate nel client di posta utilizzato (inutile dire che l’attenzione è rivolta in modo specifico a Microsoft Internet Explorer e Outlook Express) Vediamo sinteticamente alcune nuove forme di malware attualmente in circolazione Trojan-Clickers I Trojan Clickers (detti anche Hijackers ovvero “dirottatori”) modificano la pagina di avvio dei più comuni browser inserendovi un sito – di solito di natura erotica o addirittura pornografica – con cui l’hacker si è preventivamente accordato. Ogni volta che l’utente visita il sito, anche involontariamente, l’hacker guadagna un compenso. Sempre più spesso i TrojanClickers fanno apparire le pagine come pop-up durante la normale consultazione in Internet dell’utente. E’ consigliabile prestare attenzione poiché pop-up di questo tipo possono essere scatenate anche dall’apertura della home-page di un portale di servizi a pagamento. Tale popup fasulla potrebbe contenere form di login false o pericolose. Attenzione ad eventuali finestre di Pop-Up che si dovessero automaticamente aprire in corrispondenza del caricamento della pagina principale di un portale di servizi. E’ consigliabile prestare attenzione poiché PopUp di questo tipo possono essere scatenate anche dall’apertura della home page di un portale di servizi a pagamento. Tali Pop-Up fasulle vengono in genere scaricate da un differente server controllato da un Pharmer e potrebbero contenere Form di Login false o pericolose. Vediamo brevemente alcune nuove forme di malware attualmente in circolazione Trojan Proxy Come le backdoor, essi aprono una porta nel PC che permette l’entrata di un hacker, ma in questo caso lo scopo dell’hacker sarà quello di collegarsi a Internet in modalità anonima (mascheramento dell’indirizzo IP o tecniche di IP Spoofing). Qualsiasi attività dell’hacker, infatti, avverrà attraverso il computer dell’ignaro utente. In tal modo, se la catena di IP coinvolti in tale attività è numerosa, è anche possibile tentare con successo di sviare le eventuali indagini giudiziarie. Trojan Spy (detti anche keylogger) estremamente pericolosi Simili ai Trojan-PSW, i Keylogger hanno un raggio d’azione più ampio, visto che possono essere programmati per carpire informazioni specifiche o per memorizzare in appositi file tutti i tasti digitati sulla tastiera (NON SOLO DI PC!!) e inviare poi tali informazioni all’hacker, che avrà quindi la possibilità di ottenere un grande numero di dati potenzialmente riservati. Osserviamo più attentamente il fenomeno dei cosiddetti Keylogger I Keylogger sono strumenti hardware o software in grado di intercettare e registrare tutto ciò che un utente digita su una tastiera. La tastiera può essere quella di un Personal Computer oppure di un PinPad per operazioni di vario tipo o addirittura qualsiasi tipo di periferica di immissione dati, persino la tastiera di un telefono cellulare. I Keylogger hardware sono dispositivi, spesso di minimo ingombro, installati fisicamente sulle macchine coinvolte. I Keylogger software sono Trojan spesso inviati per email che agiscono in background e inviano i file di testo con i dati catturati mediante protocolli FTP (porta 22 TCP) oppure appoggiandosi al browser (porta 80) o anche via e-mail utilizzando la porta 25 sul server SMTP dell’utente. Tali porte sono spesso aperte anche in presenza di eventuali firewall. Sistemi informatici suscettibili di infezione e tecniche di mascheramento basate sulla compressione degli eseguibili virali Le principali categorie di virus intesi come file eseguibili, sono quasi sempre progettati per i sistemi operativi di tipo desktop quali MS Windows o distribuzioni particolari di Linux. Sono piuttosto rari spyware, trojan o virus realizzati per i grossi sistemi di elaborazione centralizzati di tipo IBM Mainframe. (Sistemi operativi OS/390, z/OS) Spesso i file eseguibili dannosi vengono compressi con particolari tecniche per mascherare la loro presenza anche alle sonde degli antivirus (spesso se non tempestivamente aggiornati) Tecniche di mascheramento di malware e fenomeno Rootkit Riflessioni separate devono essere fatte per i Rootkit, ossia per quel software in grado di mascherare la propria presenza in un sistema grazie a sofisticate tecniche di STEALTH. Benchè noti da molto tempo in ambiente Unix, i Rootkit hanno iniziato a fare la loro comparsa in ambiente Windows, già da alcuni anni. Nel 2005 il loro uso è stato maggiore. Lo sviluppo di un rootkit è una procedura complessa, quindi non sempre giustificabile sul piano economico. Tuttavia le sue potenzialità di mascheramento sono notevoli e non è escluso che in futuro essi vengano utilizzati per aumentare la vita media e la resistenza di una Botnet. In effetti, grazie al codice sorgente e ai programmi già pronti per l’uso distribuiti da siti web, gli autori di malware possono facilmente reperire software ed informazioni per integrare dei rootkit nei Trojan Horses. Breve considerazione sul fenomeno dello Spam e dell’ingegneria sociale L’uso dello spam, per il quale non si registrano diminuzioni di tendenze rispetto ai precedenti anni, ha permesso di raffinare tecniche finalizzate ad ingannare gli utenti e sottrarre loro informazioni puntando sulla buona fede delle persone. Anche le grandi tragedie che la collettività mondiale ha subito negli scorsi anni sono state usate in tale ambito Le notizie inerenti l’uragano Katrina sono state prese come spunto per generare messaggi di Spam e Phishing, di cui almeno uno contenente un collegamento verso un sito che, sfruttando una nota vulnerabilità di IE, scaricava ed installava un Trojan nel PC. Qualche mese prima, attacchi analoghi sfruttarono il moto di solidarietà verso la tragedia dello TSUNAMI nell’Oceano Indiano. Vediamo ora in dettaglio alcune tecniche di attacco in grado di compromettere la sicurezza del nostro PC o della rete della nostra azienda. Cross Site Scripting La grande diffusione dei siti a contenuto dinamico che utilizzano linguaggi lato server (come ASP, JSP e PHP) ha favorito lo sviluppo di particolari tecniche di hacking ideate per colpire gli utilizzatori delle applicazioni web. Una delle tecniche più conosciute prende il nome di Cross Site Scripting, spesso abbreviata con XSS. Il CSS permette ad un aggressore di inserire codice arbitrario come input di una applicazione web, così da modificarne il comportamento per perseguire i propri fini illeciti. Se uno script consente questo tipo di attacco, è facile confezionare una URL ad hoc e inviarla all'utente, il quale, ignaro di questa modifica, crederà di utilizzare il normale servizio offerto dal sito web vulnerabile. Pagine web o messaggi di posta elettronica in formato HTML sono i mezzi ideali per portare a termine l'attacco. I pericoli del Cross Site Scripting Quando utilizziamo un servizio che richiede l'inserimento di username e password, spesso questi dati vengono registrati sul nostro computer sotto forma di Cookie (un file di testo) per non doverli digitare ogni volta. Per ovvi motivi di sicurezza, i dati contenuti nel cookie sono accessibili solo dal sito web che li ha creati. Ma supponiamo che il sito in questione utilizzi una applicazione vulnerabile al XSS: l'aggressore potrà iniettare un semplice frammento di codice JavaScript che legge il cookie dell'utente e lo riferisce. Il browser dell'utente permetterà la lettura, perchè in effetti il JavaScript viene eseguito da un sito autorizzato a leggere il cookie medesimo. Vediamo in dettaglio alcune tecniche di attacco in grado di compromettere la sicurezza del nostro PC o della rete della nostra azienda. Cross Site Scripting Il Cross Site Scripting solitamente richiede un intervento attivo da parte della vittima per poter funzionare: anche il click su un collegamento in una pagina web o in un messaggio di posta elettronica in formato HTML può nascondere insidie di questo tipo. Qualsiasi tipo di applicazione web può essere a rischio, se non implementa opportuni controlli sull'input degli utenti. Vediamo una semplice classificazione in base all'origine del programma: Script semplici: la relativa semplicità dei moderni linguaggi lato server permette la creazione di script da utilizzare sui siti web personali. Spesso però le tecniche basilari della programmazione sicura non sono conosciute e gli script offrono molti punti vulnerabili agli attacchi di XSS. Applicazioni web diffuse: le applicazioni web create appositamente per essere diffuse e utilizzate in migliaia di siti (forum, chat, sistemi di gestione dei portali) solitamente sono sviluppate con un maggiore attenzione ai problemi della sicurezza. Ciò non esclude la scoperta periodica di nuove sviste nella programmazione che aprono le porte al Cross Site Scripting. Server web: ancora più pericolosi sono i bug XSS quando riguardano i server web, applicazioni molto diffuse e che solitamente non lasciano presagire la vulnerabilità a questo tipo di attacco. L'unico vantaggio in questo caso è la possibilità di accorgersi tempestivamente dell'attacco in corso, tramite l'analisi dei log del server. Vediamo in dettaglio alcune tecniche di attacco in grado di compromettere la sicurezza del nostro PC o della rete della nostra azienda. Attacchi DoS – Denial of Service I centri di monitoraggio e i grandi siti dedicati alla sicurezza informatica stanno segnalando da diverse settimane un incremento preoccupante di attacchi di tipo DoS. Il DoS, acronimo di Denial of Service, è un tipo di minaccia che consiste nell'occupare le risorse di un sistema online rendendolo inutilizzabile al pubblico, per esempio azzerando tutta la banda a disposizione. Inizialmente si trattava di una forma di attacco realizzata come curiosità tecnologica da parte di 'cracker' convenzionali oppure come arma di dissenso verso istituzioni o imprese commerciali. E' rimasto per esempio famoso l'attacco DoS che rese inaccessibile per diversi giorni il sito ufficiale di SCO a seguito della sua causa sulle proprietà intellettuali di Linux: l'azienda fu costretta a ricorrere a un altro dominio per continuare a essere presente online. Vediamo in dettaglio alcune tecniche di attacco in grado di compromettere la sicurezza del nostro PC o della rete della nostra azienda. Attacchi DoS – Denial of Service Per generare un attacco DoS è necessario violare un grande numero di computer di ignari utenti, prenderne il controllo e fare in modo che questi sviluppino traffico verso il sistema designato per l’attacco finale. In questi attacchi vengono impiegati pacchetti ICMP ed altri protocolli per la diagnosi delle reti. Inviando infatti milioni di Ping da altrettanti computer sparsi per il mondo si può determinare l’azzeramento totale di molti portali e servizi della Rete. In questo tipo di attacco il rapporto è però di tipo “uno a uno”. Un pacchetto in uscita da un sistema “pedina” comporta la ricezione di un solo pacchetto nel sistema sotto attacco. Se per mettere in ginocchio la vittima servono un milione di pacchetti al secondo, sarà necessario inviare un numero pari di pacchetti dai sistemi controllati. Servono quindi parecchi computer per avere successo. Visto l’accresciuto interesse per la sicurezza informatica non è detto che sia semplice trovare un numero così elevato di computer client in cui sia possibile inoculare il codice maligno che genera traffico. Anche trovandoli, buona parte dei sistemi potrebbe essere “ripulita” in breve tempo da antivirus, nuove patch di sicurezza o da tecnici e sistemisti specializzati. Vediamo in dettaglio alcune tecniche di attacco in grado di compromettere la sicurezza del nostro PC o della rete della nostra azienda. IP Spoofing – Falsificazioni di indirizzo IP In una rete di computer, con il termine di IP spoofing si indica una tecnica tramite la quale si crea un pacchetto IP nel quale viene falsificato l’indirizzo IP del mittente. Nell'header di un pacchetto IP si trova uno specifico campo, il Source Address, il cui valore indica l‘indirizzo IP del mittente. Semplicemente modificando questo campo si può falsificare un pacchetto IP in modo tale da apparire come se fosse stato trasmesso da una macchina differente Questa tecnica può essere utilizzata per superare alcune tecniche difensive contro le intrusioni, in primis quelle basate sull'autenticazione dell'indirizzo IP. Infatti, è normale che in intranet aziendali l'autenticazione ad alcuni servizi avvenga sulla base dell'indirizzo IP, senza l'utilizzo di altri sistemi (come utente e password). Questo tipo di attacco ha tanto più successo tanto più i rapporti di "fiducia" tra due o più macchine sono forti. Una delle difese che si possono attuare contro questo tipo di attacco è l'utilizzo di packet filtering, impostando opportune regole sulla base delle quali viene deciso quali pacchetti dall'esterno possono essere trasmessi all'interno della rete aziendale e viceversa. Nello specifico caso, per evitare un attacco basato sullo spoofing basta impostare una serie di regole che vieti il passaggio dall'esterno verso l'interno della rete aziendale di pacchetti IP che abbiano come indirizzo IP sorgente quello di una macchina interna. Ovviamente si possono impostare anche delle regole in modo tale da evitare attacchi di spoofing dall'interno verso l'esterno. L'IP spoofing risulta essere una tecnica inutile per ottenere anonimato (come invece molti credono), in quanto chi invia il pacchetto non sarà, generalmente, in grado di proseguire in modo coerente la comunicazione, dato che le risposte saranno inviate all'indirizzo IP modificato. Si tratta di una tecnica utilizzata principalmente durante attacchi di tipo DoS e principalmente nella loro variante distribuita (o DDoS), per verificare che gli algoritmi e le policy di routing siano impostate correttamente. Vediamo in dettaglio alcune tecniche di attacco in grado di compromettere la sicurezza del nostro PC o della rete della nostra azienda. Port Scanning Il Port Scanning è una tecnica utilizzata per raccogliere informazioni su un computer connesso ad una rete. Letteralmente significa "scansione delle porte" e consiste nell'inviare richieste di connessione al computer bersaglio (soprattutto pacchetti TCP, UDP e ICMP creati ad arte): elaborando le risposte è possibile stabilire (anche con precisione) quali servizi di rete siano attivi su quel computer. Una porta si dice "in ascolto" ("listening") o "aperta" quando vi è un servizio o programma che la usa. Il risultato della scansione di una porta rientra solitamente in una delle seguenti categorie: aperta (accepted): l'host ha inviato una risposta indicando che un servizio è in ascolto su quella porta chiusa (denied): l'host ha inviato una risposta indicando che le connessioni alla porta saranno rifiutata bloccata (dropped): non c'è stata alcuna risposta dall'host filtrata (filtered): rileva la presenza di un Firewall o di un ostacolo di rete in grado di bloccare l’accesso alla porta impedendo a Nmap di individuarne lo stato. Di per sé il port scanning non è pericoloso per i sistemi informatici, e viene comunemente usato dagli amministratori di sistema per effettuare controlli e manutenzione. Rivela però informazioni dettagliate che potrebbero essere usate da un eventuale attaccante per preparare facilmente una tecnica mirata finalizzata a destabilizzare la sicurezza del sistema, pertanto viene posta molta attenzione dagli amministratori a come e quando vengono effettuati port scan verso i computer della loro rete. Un buon amministratore di sistema deve sapere che un firewall ben configurato permette alle macchine di svolgere tutti i loro compiti, ma rende difficile (se non impossibile) la scansione delle porte. Considerazioni finali e alcune misure di sicurezza e prevenzione Le tecnologie informatiche sono ormai parte integrante delle nostre attività quotidiane. La Rete svolge funzioni sempre più importanti non solo quale mezzo di scambio di semplici informazioni statiche, ma soprattutto permette lo svolgimento di attività estremamente diversificate. I nostri computer, oltre ad essere in alcuni casi un semplice strumento di comunicazione e svago, diventano sempre più importanti e funzionali per la fruizione di varie tipologie di servizi. Citiamo a titolo di esempio alcuni casi reali destinati ad assumere sempre più importanza nel prossimo, immediato futuro: Considerazioni finali e alcune misure di sicurezza e prevenzione Servizi Bancari e Servizi di Pubbliche Amministrazioni Possibilità di svolgere quasi tutte le operazioni sul proprio conto corrente, inclusa la compravendita di titoli e azioni, collegandosi tramite Internet al portale del proprio istituto di credito. Considerazioni finali e alcune misure di sicurezza e prevenzione Portali di Commercio Elettronico La relativa semplicità di implementazione di procedure automatizzate offerte da terze parti (ad esempio il servizio PayPal) permette anche alla piccola azienda di offrire al cliente un servizio di pagamento sicuro ed affidabile tramite carta di credito per l'acquisto di beni e servizi vari. Considerazioni finali e alcune misure di sicurezza e prevenzione Portali di Facoltà Universitarie In questo caso non c'è bisogno di commento. L'uso del PC è assolutamente indispensabile per le iscrizioni agli esami, per accedere ai servizi di eLearning della propria facoltà (laddove presenti e disponibili) e per tenere sotto controllo il proprio piano di studi. Musica, Cinema e Intrattenimento In Rete sono presenti moltissimi portali che offrono il download di musica o più in generale di contenuti multimediali mediante pagamento tramite carta di credito. Siti Aziendali e Servizi diversi Anche in questo caso i servizi presenti sottoforma di applicativi web sono numerosissimi e coprono anche aree e campi estremamente specifici. Considerazioni finali e alcune misure di sicurezza e prevenzione Paradossalmente l'utilizzo di questi strumenti, estremamente semplici ed immediati soprattutto per le nuove generazioni, allontanano sempre di più l'utente finale dalle conoscenze specifiche di ciò che avviene all'interno delle procedure informatiche (fatta ovviamente eccezione per programmatori, analisti, sistemisti, tecnici e così via) Il grado di sicurezza maggiore per un sistema informatico è direttamente proporzionale alla preparazione, alla formazione personale e competenza tecnica della persona che lo utilizza Brevi misure di sicurezza Per questo motivo, secondo l'opinione di chi scrive, è essenziale formare le nuove generazioni non tanto nel semplice utilizzo del proprio PC (S.O. Windows, Pacchetto Office). Queste conoscenze sono già in possesso di molti giovani, pur non avendo nel proprio bagaglio culturale la conoscenza di una terminologia tecnica persino elementare. Ai giovani serve la formazione etica e un minimo di conoscenza tecnica che vada oltre la semplice manualità. Non serve a nulla sapere cambiare una scheda video, quando non si conosce nemmeno il significato del termine "protocollo". La formazione etica è ancora più importante, laddove il mercato a volte propone software ludico troppe volte di estrema violenza e brutalità e stampa specializzata (nonché siti internet) che invitano il giovane a diventare un potenziale cracker (o meglio "Script Kid" visto che molti programmi "malware" vengono distribuiti già confezionati e pronti per l'uso). In sostanza, cerchiamo di non utilizzare complesse tecnologie solamente per mandare inutili messaggi di posta elettronica o MMS. Si tratta di strumenti potenzialmente pericolosi anche per i sistemi operativi a bordo di telefoni cellulari e il fenomeno purtroppo affligge anche fasce di età ben più elevate. Si dovrebbero anche evitare messaggi di posta elettronica assolutamente inutili, volgari e magari contenenti elementi che SPESSO INCONSAPEVOLEMENTE DA PARTE DEL MITTENTE compromettono la sicurezza dei PC destinatari. Brevi misure di sicurezza Per un'azienda, anche se si tratta di un piccola media impresa, la responsabilità dei sistemi informativi deve essere affidata a personale specializzato e di assoluta fiducia, in quando allo stato attuale, nessun dipendente adibito ad altre mansioni si dovrebbe occupare anche dell'aspetto informatico e tecnologico della rete e delle macchine presenti all'interno dell'azienda, specialmente se i dati elaborati rappresentano informazioni sensibili o di elevata riservatezza. Nel caso di utenti privati, purtroppo, mancano spesso adeguate conoscenze in termini di sicurezza e di conoscenze hardware/software. Conoscenze che dovrebbero essere in possesso di chiunque utilizzi il PC non limitatamente a scopi ludici o di intrattenimento. Brevi misure di sicurezza Elenchiamo, per concludere, una sequenza di semplici ed elementari regole da seguire: Non utilizzare MAI un personal computer per accedere a servizi di portali bancari, di trading online o comunque applicazioni web direttamente connesse con l'amministrazione del proprio portafoglio, laddove la medesima macchina sia stata precedentemente (anche a distanza di tempo) utilizzata per visionare siti con contenuti erotici e/o pornografici oppure portali di intrattenimento con download di salvaschermi, suonerie per cellulari ed altre trivialità analoghe, soprattutto se la navigazione è stata eseguita utilizzando il browser Microsoft Internet Explorer. Brevi misure di sicurezza Elenchiamo, per concludere, una sequenza di semplici ed elementari regole da seguire: Installare un Antivirus, mantenere periodicamente aggiornate le release e le definizioni ed eseguire scansioni regolari dell'intero sistema. Installare un programma anti-spyware con periodici aggiornamenti ed eseguire la scansione dell'intero sistema (quindi di TUTTE le partizioni eventualmente presenti sui dischi) almeno una volta ogni dieci giorni. Installare un firewall e prendere dimestichezza con i più comuni protocolli TCP/IP e sulle "well-known ports" assegnate da IANA. Il firewall deve anche potere eseguire la cattura dei pacchetti generati dal traffico sviluppato durante l'attività in rete e agire da sniffer sui dati in transito, eseguendo analisi di protocolli, porte, indirizzi IP e dump dei pacchetti in entrata e in uscita. I report generati da tali sonde devono essere memorizzati in appositi files di Log ed esaminati periodicamente. Brevi misure di sicurezza Elenchiamo, per concludere, una sequenza di semplici ed elementari regole da seguire: Verificare periodicamente i files di Log delle sonde alla ricerca di applicazioni che possano avere effettuato un hijacking, ovvero che si siano appoggiate ad altre applicazioni (un esempio tipico sono le funzionalità FTP di IE) cui è stata data l'autorizzazione ad accedere alla rete in modo permanente, per propagare dati sensibili eventualmente catturati da Keylogger o Trojan. Questo è un punto di ESTREMA IMPORTANZA. Il firewall dovrebbe anche prevedere la possibilità di pingare indirizzi IP sospetti, segnalare eventuali port scan diretti alla propria macchina e soprattutto eseguire in modalità GUI il TRACERT di un IP non identificato con eventualmente l'interrogazione del WHOIS. Evitare le reti Wireless, soprattutto negli uffici. Non connettersi mai a Internet passando attraverso un Access Point senza la presenza di un Firewall e senza avere preventivamente eseguito la configurazione per la cifratura dei dati in transito. Brevi misure di sicurezza Elenchiamo, per concludere, una sequenza di semplici ed elementari regole da seguire: Nel caso di piccole reti domestiche o comunque di tipo SOHO è opportuno dedicare una macchina con a bordo un server Proxy in grado di filtrare tutto il traffico sviluppato dai client in maniera del tutto analoga al firewall (che peraltro deve essere installato anche su ciascun PC). E' opportuno dedicare anche un po' di tempo alla configurazione di un "web-washer“, ossia un applicativo software in grado di eseguire un'approfondita analisi del codice HTML e Javascript che compone la pagina richiesta, prima che la medesima pagina venga visualizzata nel browser, alla ricerca di collegamenti ipertestuali sospetti o determinate parole chiave stabilite dall'amministratore di sistema. Nel caso di transazioni su portali di commercio elettronico (specie se poco conosciuti o poco attendibili) verificare SEMPRE l'utilizzo del protocollo HTTPs in tutta la catena di immissione dati e verificare SEMPRE la URL presente nella barra degli indirizzi del browser. Utilizzare preferibilmente le carte di credito prepagate (in grado di generare numeri di carte di credito virtuali, a scadenza e di importo limitato) e in ogni caso non utilizzare MAI la propria carta di credito su siti di commercio elettronico poco attendibili o poco conosciuti. Brevi misure di sicurezza Elenchiamo, per concludere, una sequenza di semplici ed elementari regole da seguire: Evitare di inviare messaggi di posta elettronica con contenuti multimediali complessi, come applet Java, animazioni shockwave e così via e sottoporre a scansione automatica ogni allegato in uscita. Spesso inviando questi inutili e futili messaggi può accadere che il mittente invia INCOSAPEVOLMENTE anche varie tipologie di Script pericolosi o malware di vario tipo, soprattutto se l'utente destinatario visualizza il messaggio direttamente in formato HTML all'interno di Outlook (Express). Preferire sempre i formati di posta in PLAIN TEXT piuttosto che messaggi composti in HTML, come se fossero pagine web. Spesso infatti questi messaggi possono contenere codice che scarica dati da collegamenti contenuti all'interno del messaggio stesso e attivati immediatamente una volta che la pagina che compone il messaggio viene visualizzata.