| Autore: PUOJACKZ | Data: 2005-12-19 |
| Modificato:
Documento non modificato
|
Letture: 374 |
|
Le informazioni contenute all'interno di un computer vengono suddivise a seconda del contenuto di dati presente in esse.
I capisaldi fondamentali, per valutare il grado di sensibilità di queste, sono 3: * Riservatezza, cioè se le informazioni devono essere disponibili solo a coloro che detengono un accesso valido a queste
* Integrità, cioè se le informazioni devono poter essere modificate solo da coloro che ne detengono l'autorizzazione
* Disponibilità, cioè se le informazioni devono essere accessibili solo a coloro che ne hanno necessità, quando questa venga a manifestarsi Questi concetti son applicabili sia in un contesto aziendale, che domestico. Ovviamente, nessuno desidera che vi sia un estraneo che detenga la possibilità di tracciare eventuali operazione compiute nel proprio box personale, così come, accedere ai dati privati conservati in esso.
E' bene tener in considerazione che i 3 punti riportati non solo possono essere vittime di azioni maligne compiute via internet, ma anche di eventuali eventi casuali, in egual modo, disastrosi (es. rotture dell'hardware, sbalzi di tensione ecc.). Gli attacchi informatici diretti: I sistemi più comuni per ottenere il controllo di un sistema Qui di seguito vengono elencati e brevemente spiegati i sistemi più comuni per ottenere il controllo di un box. Trojan Horse Malware
BackDoor e RAT (Remote Administration Tools)
Attacchi Denial of Service o Denial of Service Distribuito (DoS/DDoS)
Spoofing
Condivisioni di risorse non protette
Codice Maligno Mobile (Java/JavaScript/ActiveX)
Cross-site scripting
Malware MailSpreaders
Vulnerabilità dovute dalla doppia estensione nascosta
Packet sniffing
Programmi Hijacker
Programmi Keylogger
RootKits
Exploiter I Malware Trojan Horse Utilizzati, molto spesso, questo genere di malware è molto comune, in quanto, permette, all'attaccante, di mantenere il controllo del sistema, senza che l'utente lo sappia. Viene diffuso come programma innocuo, tramite l'impiego di alcuni espedienti di Social Engineering, in modo che la vittima cada nel tranello ed esegua il programma. Trojan horse programs are a common way for intruders to trick you (sometimes referred to as "social engineering") into installing "back door" programs. These can allow intruders easy access to your computer without your knowledge, change your system configurations, or infect your computer with a computer virus. BackDoor e RAT (Remote Administration Tools) Occorre, fin da subito, chiarire alcuni concetti. La funzione di una backdoor è quella di permettere, ad un utente remoto, di poter accedere ad un sistema, per poterlo amministrare, in modo illecito. Al contrario, la funzione di Amministrazione Remota, condivide lo stesso fine, ma raggruppa solo i software leciti. Esistono strumenti di gestione remota, detti RAT, usati dagli admins per agevolare lo svolgimento di particolari controlli, in una box, anche se non si è fisicamente presenti nel luogo ove questa è attiva. I RAT sono dei programmi leciti (es. VNC o PC Anywhere), i quali, presentano anche la possibilità di porre dei sistemi di sicurezza, al fine di evitare che qualche utente malevolo sfrutti tale "Tunnel", per accedere facilmente al sistema ove quest'ultimo è in funzione.
La parola BackDoor, invece, assume una connotazione negativa quando le funzioni di accesso remoto vengono aggiunte ad un programma secondario portatore (es. un Trojan). Il NetBus, il SubSeven ed i BackOrifice, sono, dei RAT. Worm quali ZOTOB, contengono delle funzioni BackDoor. Questa distinzione è giusto farla, in quanto, la disinformazione, oggi giorno, si manifesta additando ogni RAT, Trojan Horse o Worm, automaticamente come Backdoor, descrizione concettualmente errata. Inoltre, ciò includerebbe anche tutti quei programmi usati per l'accesso remoto diretto lecito (es. rsh o rlogin). Attacco Denial of Service o Denial of Service Distribuito (DoS/DDoS) Un'altra tipologia generica di attacco è detta Denial of Service (DoS) o Denial of Service Distribuito (DDoS).
Con tali termini vengono raccolte molte tipologie di attività illecita, tutte quante finalizzate nel ridurre, danneggiare o bloccare l'erogazione di un servizio ad uno o più utenti.
A livello molto generico, questa tipologia di attacchi spazia dal semplice invio di informazioni create appositamente per causare il blocco indotto di un box (Nuking), fino all'intasamento di una via di comunicazione (tramite attacchi a saturazione di banda) o di un sistema (tramite, ad esempio, un attacco SYN Flood). In certi casi, per risolvere i problemi derivati da questo genere di attività maligne, basta porre le patch apposite, fornite dal produttore di OS.
Nel caso di un attacco DDoS, invece, il computer può prender parte o essere vittima di un traffico DoS sollecitato da più hosts, contemporaneamente, nella rete. Spoofing In questo caso, gli attaccanti, sfruttano dei computer già precedentemente compromessi, come rampe di lancio per nuovi tentativi di system-breaking.
In tale tipologia non rientrano solo gli attacchi finalizzati nell'accedere, illegalmente, ad un sistema, ma anche i DoS/DDoS, oppure l'invio di Email con indirizzo fasullo, per scopi maligni.
In tal caso, infatti, il blackhat installa degli agenti, all'interno delle box compromesse (contenuti all'interno di Trojan Horse, ad esempio), i quali si pongono in attesa dei comandi di sollecitazione, al fine di attivare l'attacco.
L'operazione può essere coordinata su più nodi, causando, per l'appunto, un DDoS, con indirizzi sorgenti non riferiti a chi, realmente, ha richiesto l'attivazione di tali applicativi. Condivisione di risorse non protette I NOS, oggi giorno, permettono la condivisione di varie aree del sistema locale, operazione che può essere sfruttata, da un attaccante, al fine di sfruttare i sistemi, di base, offerti dall'OS, per ottenere l'accesso sul box. Siccome, i computers, il più delle volte, sono interconnessi, l'intruder può ottenere la capacità di sfruttare la condivisione attiva, per degli attacchi a dei computer adiacenti. Codice Maligno Mobile (Java/JavaScript/ActiveX) Una possibile minaccia può essere rappresentata anche dai malware scritti tramite "Mobile Code" (es. Java, JavaScript, ed ActiveX). Questi linguaggi di scripting, vengono, effettivamente, interpretati ed elaborati dai browser web, il quale li trasforma in codice macchina eseguibile. Fortunatamente, oggi giorno è possibile disabilitarne, con certo margine di scelta, l'esecuzione, però, spesso, attacchi informatici tramite l'impiego di questa tecnica, vengono compiuti via email, in quanto, alcuni reader interpretano l'HTML contenuto nel messaggio (così come gli script presenti in esso). Cross-site scripting Particolar tipo di attacco, compiuto prevalentemente con l'ausilio di più elementi di Internet. Principalmente l'attaccante crea un sito web, oppure, invia un email in HTML, alla vittima designata, apparentemente innocui, con, però, degli oggetti interattivi legati a degli script maligni, sollecitati On Event (es. editbox, pulsanti ecc.). Quando l'utente interagisce con questi, il codice contenuto si attiva, procedendo con l'infezione. Malware MailSpreaders Malware (es. i Worms), spesso, procedono con le loro routines di infezione allegando il codice (completo o parziale), negli allegati delle email, inviate dal box compromesso. Mai eseguire gli allegati presenti all'interno delle email, se non si è sicuri della loro veridicità. Un buon consiglio è quello di diffondere una parola chiave, di autenticazione manuale, da usare tra gli amici, inserendola nel corpo del messaggio, o nell'oggetto, al fine di dichiarare, in modo palese, che è stato proprio l'utente ad inviare quell'email e non una routine automatica di un malware. Vulnerabilità dovute dalla doppia estensione nascosta Questa vulnerabilità è diffusa negli OS prodotti dalla Microsoft. In quest'ultimi, infatti, è possibile nascondere le estensioni reali, dei file eseguibili, in più metodi.
I produttori di malware rinominano la loro creazione con estensioni particolari (es. .pif, estensione che il sistema non visualizza attivamente all'utente), inserendo una gran quantità di spazi, nel nome, in modo che l'utente non faccia caso alla seconda estensione, oppure, creando degli applicativi .com, spacciandoli per URL (es. dando, come nome, al malware "Visitate Pornodive.com", il quale non è un link ad un sito web, ma, effettivamente, un file eseguibile .com). Packet sniffing Un packet sniffer è un programma che registra tutto il traffico d'informazioni presente in una rete a medium condiviso (non nelle connessioni point-to-point). Occorre, comunque, che la scheda di rete venga configurata per ottenere non solo i pacchetti Unicast (diretti da una sorgente, ad una destinazione), Multicast (diretti da una sorgente a più destinazioni) e BroadCast (diretti da una sorgente a tutte le destinazioni raggiungibili in un particolare segmento), ma anche quelli in modalità Promiscua (diretti da una sorgente, ad un'altra destinazione, ma catturati dal box locale).
Se le trasmissioni avvengono senza crittazione della parte del frame, relativa ai dati trasportati, il contenuto può essere visionato senza problemi. RootKits Particolari tipi di suite, composti da vari applicativi, impiegati per modificare, a più livelli di profondità, i componenti fondamentali del sistema operativo presenti nel box vittima. Il fine è quello di permettere, all'intruder, d'agire, nel computer violato, senza esser scoperto dall'amministratore di quest'ultimo. Exploiter Strumenti usati dagli attaccanti, finalizzati nel sfruttare le vulnerabilità di un sistema operativo, in modo automatico, al fine di poter accedere al box compromesso e permettere, all'intruder, di eseguire routines, con privilegi massimali. Problemi di sicurezza indiretti Incidenti, danneggiamenti accidentali e altri rischi Oltre agli attacchi diretti ai sistemi informatici, occorre tener in considerazione la possibile vulnerabilità dovuta da altri fattori e cause esterne, non direttamente imputabili ad un tentativo di danneggiamento/manomissione volontario, bensì, alla casualità o ad una serie sfortunata di eventi concatenati. Malfunzionamento o danneggiamento permanente dei sistemi di conservazione dei dati Coincide con un problema legato alla disponibilità di un dato, uno dei tre elementi chiave della information security. Sebbene tutti i dati contenuti non siano leggibili con i normali metodi di accesso, quanto contenuto potrebbe essere, tramite delle particolari procedure, ricavato. Pertanto, un dispositivo di storaging, a lungo termine, può rappresentare un rischio per la privacy delle informazione conservate.
Per risolvere il problema della perdita di dati, occorre creare delle copie di backup, ad intervalli regolari, presso dei supporti più affidabili (es. nastri o supporti ottici). Interruzione dell'erogazione elettrica o picchi di energia I problemi legati all'erogazione elettrica (surges, blackouts, e brown-outs) possono danneggiare la circuiteria del computer, anche in modo irreparabile, causando crash ai supporti di memorizzazione di massa (Hard Disk), danneggiando schede e altri componenti presenti. Per evitare tali problemi, occorre isolare l'equipaggiamento con dei surge suppressor e gruppi di continuità (uninterruptible power supplies (UPS)). Sottrazione fisica del box, in seguito ad una rapina La sottrazione fisica di un computer, causa l'esposizione dei dati contenuti in esso, ai rischi relativi la segretezza e la disponibilità delle informazioni, due dei tre elementi chiave della Information Security.
Qualora, comunque, il box venisse recuperato, subentrerebbe anche il rischio di manomissione/danneggiamento dell'integrità dei dati (altro punto violato), in quanto, le informazioni conservate potrebbero essere state manipolate per fini illeciti, oppure, soggette a danneggiamento e, quindi, irrecuperabili.
Per tutelarsi da questo genere di problema, occorre crittare i dati contenuti nei dispositivi di conservazione di massa, creando, periodicamente, delle copie di backup. Tali soluzioni devono essere applicate entrambi, per coprire tutti e 3 gli elementi chiave. Il semplice backup non copre la segretezza delle informazioni, così come il crypting non risolve la necessità di disponibilità, nè l'integrità di quanto conservato.
Gli esperti di sicurezza consigliano l'impiego di strumenti per la crittografia dei dati, in particolar modo, qualora nei box siano custodite info sensibili o l'equipaggiamento sia minacciato da un alto rischio di sottrazione (es. laptops, palmari e altri disposiviti facilmente trasportabili).
|
