Le modalità di attuazione di minacce intenzionali sono cosi sinteticamente descritte:
1) Individuazione di attacchi non contrastati da alcuna contromisura ICT (ad esempio basati
sull’inferenza, cioè non mi posso limitare a considerare ciò che può essere fatto da un determinato
soggetto quando accede direttamente a determinate informazioni ma mi devo preoccupare anche del
fatto che potrebbe accederci in modo indiretto sfruttando la conoscenza di altre informazioni);
2) Sfruttamento di debolezze insite nei principi teorici di funzionamento delle contromisure ICT (ad
esempio meccanismi di autenticazione con password di lunghezza ridotta, algoritmi o protocolli
crittografici mal progettati, ecc.);
3) Sfruttamento di errori nell’implementazione delle contromisure ICT (esempio buffer overflow,
realizzazione non corretta di algoritmi crittografici, ecc.);
4) Sfruttamento di errori nella configurazione e nell’utilizzo delle contromisure ICT (esempio
regole di filtraggio di un firewall, uso di password banali, ecc.).
Per quanto concerne le tipologie di modalità di attuazione più utilizzate negli anni 80 e 90 sono
cosi elencate:
Nel periodo temporale 1980-1998 secondo la fonte CERT (i cert sono dei centri che servono a
gestire le emergenze informatiche) sono cosi riassunti:
DECENNIO 1980-1990
Password guessing
guessing consiste nel "rubare" la password di un altro utente. Per prendere un valido account a cui
dare una password bisogna "fingerare" (attacco tramite finger) l’utente e leggere (anche se criptato)
il passwd file; è meglio se il finger viene fatto durante il giorno. Una volta trovato l’account (tramite
il finger oppure nel passwd file), bisogna inserire una alla volta le password della lista.
password
account
account
password
account
Codice software autoreplicante (1983)
Questo codice software colpì tra il 1983 e il 1985 i primi home computer (Commodore 64, Sinclair
ZX Spectrum e i primi PC MS-Dos) ed era un codice malevolo (es.: virus) inserito nei programmi
registrati su supporto magnetico (floppy disk). Da questa minaccia erano immuni all’inizio i
computer
Password cracking (1986)
Per password cracking si intendono tutte quelle operazioni che consentono, in condizioni lecite e
non, di reperire una password da una qualsiasi tipo di fonte di informazione ad esempio un file
criptato. Questo tipo di attacco può essere effettuato in modalità remota oppure locale e i metodi di
decodifica possono essere:
Brutal force attack: Questa algoritmo di decodifica richiede un notevole tempo di elaborazione e
mira ad accedere al sistema tramite tentativi di login a ripetizione finchè non si trova un utente e
una password validi. Il processo di brutal force attack richiede parecchio tempo infatti il processo di
decodifica parte con un singolo carattere e prosegue ordinatamente aumentandone il numero e le
combinazioni. Ad esempio: una password di 8 caratteri da un set di caratteri Ascii di 128 caratteri,
un pc Pentiun 4/2.5 Ghz che permette di trattare in 1 secondo 25 milioni di combinazioni
impiegherebbe, per decriptare la combinazioni di caratteri, ben 91 anni "le possibili combinazioni".
che dovrebbe verificare sarebbero 72.057.594.037.927.900
Dictionary attack: Quest’altro tipo di algoritmo di decodifica si basa su una semplice consultazione
di un dizionario di termini e nomi "in genere si tratta di file di testo". Il sistema di decodifica è
semplice i programmi, realizzati a tale scopo, non fanno altro che leggere nell’ordine tutte le parole
in elenco fino a ritrovare quella giusta.
Sovrascrittura della password: Questa è una delle tecniche più semplici ma non ha un’alta
percentuale di riuscita. Ovviamente con questa tecnica non viene trovata la password ma si cerca di
leggere il contenuto del file e così poterla sovrascrivere.
Known-plaintext attack:
non compressa di uno dei file contenuti nell’archivio protetto da password. Questo file viene usato
per "decodificare" tutti gli altri. Un attacco di questo tipo può essere utilizzato, in questa
circostanza, non solo per decodificare gli altri due file ma anche per risalire alla password. Un
attacco known-plaintext è molto complicato ma, solitamente, è quello che dà i risultati migliori
Con l’avvento del password craking i primi terminali ad essere colpiti furono quelli con sistema
operativo Unix. Infatti il file degli account (nella directory /etc) è accessibile in lettura a tutti gli
utenti e contenente le coppie nome utente/(nome utente cifrato con algoritmo noto e chiave
costituita dalla password) per cui anche password di buona qualità potevano essere così scoperte
Sfruttamento di vulnerabilità note (1986)
Inizialmente furono colpiti i sistemi Unix (con il worm di R. Morris) e VMS (con il “Worm Against– WANK”)
Nuclear Killers
Disabilitazione della funzione di auditing (1988)
Nel 1988 gli hacker cominciano ad eseguire anche azioni che lascerebbero tracce nei file di
auditing
file
della data/ora di sistema prima del reinserimento dei file di auditing depurati dalle registrazioni
degli eventi anomali causati dagli hacker.(1989)
Backdoor
Le backdoors sono quelle password che il programmatore del sistema mette per avere accesso in
futuro a quel dato computer e che solamente lui conosce. Per cercare di individuare la password
bisogna fare lunghe ricerca sulla persona che ha impostato tutto il sistema. Il backdoor non era
nient’altro che codice malevolo, eseguito con privilegi di amministratore sul sistema ICT violato,
che consentiva un più agevole e veloce accesso al sistema dopo la sua iniziale violazione con
sfruttamento passo-passo delle vulnerabilità note (connessioni TCP su porte di rara utilizzazione,
magic passwords
DECENNIO 1990-2000
Hijacking session
(1992 )
Rappresenta una sessione lasciata appesa (shell aperta), su alcuni sistemi ICT, dopo la chiusura o la
caduta di un collegamento via modem. Semplice da portare a termine e non è di tipo blind (si
conoscono perfettamente i numeri di sequenza della connessione) ed ha un’estrema facilità
nell’oscurare un lato della comunicazione e inserirsi al suo posto.
Sniffer
(1993)
Nel 1993 si sviluppa il fenomeno dello sniffing intesa come l’attività di intercettazione passiva dei
dati che transitano in una rete telematica. Tale attività può essere svolta sia per scopi legittimi (ad
esempio l’individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi
illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). I prodotti software
utilizzati per eseguire queste attività vengono detti sniffer ed oltre ad intercettare e memorizzare il
traffico offrono funzionalità di analisi del traffico stesso. Gli sniffer intercettano i singoli pacchetti,
decodificando le varie intestazioni di livello datalink, rete, trasporto, applicativo. Inoltre possono
offrire strumenti di analisi che analizzano ad esempio tutti i pacchetti di una connessione TCP per
valutare il comportamento del protocollo o per ricostruire lo scambio di dati tra le applicazioni.
Col diffondersi di questo fenomeno si sviluppa l’esigenza degli hacker di scoprire anche le
password
via software tutto il traffico che transita su una scheda di rete. Vengono sviluppati degli sniffer
specializzati nella cattura delle password (attivazione automatica della registrazione del traffico
dopo aver individuato l’inizio di una nuova sessione), i quali possono essere utilizzati in architetture
di rete “a bus” o introducendo appositamente nuovi nodi in architetture “a stella”.
Stealth Diagnostic
(1994)
Nel 1994 viene sviluppato da parte di amministratori di sistema, il programma SATAN (Security). SATAN permetteva di monitorare da remoto le
Administrator Tool for Analyzing Networks
vulnerabilità note e le patch presenti sui sistemi ICT. Il programma viene ben presto utilizzato dagli
hacker
stesso tipo vengono sviluppati dagli hacker includendo anche l’esecuzione di attacchi in grado di
sfruttare le vulnerabilità note trovate
Packet Spoofing
(1994)
E’ un attacco effettuato utilizzando l’indirizzo IP di un altro computer ritenuto fidato dal computer
attaccato. Venne eseguito da Kevin David Mitnick per violare il server Sun Solaris di un consulente
del governo americano che aveva fornito indicazioni per intercettare le comunicazioni dei cellulari
(l’hacker venne a lungo ricercato dall’FBI con l’aiuto degli operatori di telefonia fino all’arresto
avvenuto nel 1995).
GUI (1996)
Sono strumenti di attacco di facile utilizzo basati sull’interfaccia d’utente grafica (Graphical User) invece che su un’interfaccia di tipo testo a righe di comando. Diviene molto più ampio il
Interface
numero di soggetti in grado di usare i programmi per eseguire gli attacchi. Conseguentemente
cresce notevolmente il numero degli attacchi
Automated probe/scan
(1997)
E’ una tecnica d’attacco basata sull’utilizzo di strumenti che eseguono scansioni delle porte TCP/IP
e individuazione di vulnerabilità note. L’utilizzazione di tali strumenti portò all’esecuzione di
numerosi attacchi. Spesso tali attacchi furono compiuti da soggetti non molto esperti tecnicamente
che però riuscivano ad utilizzare i potenti strumenti di attacco disponibili.
WWW Attack/incident
(1997)
Serie di attacchi basati su vulnerabilità web principalmente miranti alla sostituzione della home(web defacement). Famosi furono gli attacchi a Ebay e Yahoo che ebbero effetti molto
page
negativi anche sulle quotazioni in borsa delle società. Anche questi attacchi furono spesso eseguiti
da persone non molto esperte tecnicamente
Denial of Service
(1998 )
L’attacco Dos (Denial of service) D.o.S è acronimo di “Denial of Service” ovvero “Negazione del
Servizio”. Questo tipo di attacco informatico consiste nell’inondare un determinato servizio con una
quantità di dati che il servizio colpito non può gestire e quindi va in tilt e si blocca Il flood
(inondazione) viene provocato di solito con programmi di loop (quei programmi che ripetono una
data azione “n” volte) che mandano simultaneamente tante richieste a quel dato servizio (che può
gestire solo un numero finito di richieste per quanto alto possa essere) fino a bloccarlo. Il D.o.S in
una piccola fascia di casi può essere usato anche per acquisire i privilegi di amministratore:
conosciuta era la falla di un router Cisco di vecchia data che permetteva una volta freezato
(bloccato) di subentrare come amministratore. Quando l’attacco viene utilizzato da più terminali
contemporaneamente si parla di D.D.o.S (ovvero di attacco dos distribuito). In queste tipologia di
attacco molti computer di soggetti ignari contribuiscono ad eseguire l’attacco.
(a cura del Dottor Antonio Guzzo – Responsabile CED – Sistemi Informativi del Comune di Praia a Mare)
come strumento per facilitare gli attacchi informatici. Con il tempo altri programmi dello
più robuste, sfruttando la possibilità offerta dalla famiglia di protocolli TCP/IP di leggere, ecc)di auditing da parte degli amministratori di sistema. Infatti riescono ad effettuare la modifica, ma imparano a cancellare tali tracce, facilitati dal prevalente uso come “scatola nera” deiE’ un tipo di attacco basato sull’utilizzo di una versione non codificata eaziendali (per lo più mainframe con terminali non intelligenti (monitor più tastiera)di default ancora attivi.non protette fuori del contesto ICT;parola1/parola2+nnn (dizionario eventualmente contestualizzato);nome/nome o cognome/cognome+nnn (elenco telefonico);banali(la facilità nel riconoscere facilmente le password) .Il fenomeno del password
Scrivi un commento
Accedi per poter inserire un commento