Autore: PUOJACKZ Data: 2005-12-19 Modificato: Documento non modificato Letture: 250 Torna indietro

Che cos'è la Network Security?

La Network security è quel processo atto nell'identificare ed evitare l'uso non autorizzato di un computer. Le misure di prevenzione permettono, all'amministratore addetto, di bloccare le attività compiute da eventuali utenti malevoli (detti "intruders"), evitando, a questi, l'accesso ad un qualsiasi componente o risorsa del box protetto. La fase d'identificazione, invece, permette di determinare qualora qualcuno abbia effettuato un tentativo di break, nel sistema, non autorizzato, se quest'ultimo ha avuto esito positivo e quali azioni sono state attuate.
Oggi giorno, i computers vengono usati per ogni genere di attività. Creare e gestire file per vari scopi, lavorare, navigare sul web, giocare ecc. son tutte situazioni presenti nella vita quotidiana di un utente.
Disgraziatamente, però, così come esistono delle persone che fanno un uso lecito e legalmente proficuo delle risorse messe a disposizione dal proprio box, così come da quelli presenti nella rete Internet, vi son anche coloro che effettuano tutta una serie di attività atte all'arricchimento personale, a discapito della libertà altrui (es. impiegare computers e/o risorse non proprietarie per scopi personali).
In ogni istante di funzionamento (dall'accensione, fino allo spegnimento), un box è costantemente a rischio. Pertanto, occorre apprendere alcune conoscenze al fine di arginare eventuali problemi indesiderati.
Nel computer dell'utente medio, possono esser custodite varie informazioni che potrebbero attirare l'attenzione di un attaccante. Possono esser presenti:

- Indirizzi email validi: usati dagli spammer per eventuali spamrun
- Indirizzi IM/Chat: anch'essi potenziali dati usati dagli spammers
- Informazioni personali: es. dati anagrafici, codici di carte di credito (usati per scopi illeciti quali cloni d'identità, oppure, per sottrarre denaro dagli istituti bancari, senza autorizzazione)
- Dati lavorativi: che potrebbero includere informazioni riguardo il lavoro svolto, oppure, l'azienda/negozio/istituzione (usato dai crackers, durante le fasi di FootPrinting)
- Codici di registrazione dei programmi: usati per permettere la registrazione di copie degli stessi programmi, ad altre persone, senza previo pagamento; in certi casi, questo genere di attività può influire negativamente sul funzionamento complessivo di un programma, anche se regolarmente comprato (es. agevolazioni ed attività online che non possono più essere sfruttate, in quanto, un altro utente figura essersi registrato, con lo stesso ID del prodotto)
- Codici di autenticazione: es. password per l'accesso ad eventuali risorse, sia locali che remote
- Comunicazioni in tempo reale: es. discussioni in tempo reale tramite digitazione delle frasi, via tastiera (attività solita nelle chat), diffusione dati audio/video (es. duranti videoconferenze private) ecc.

Ma non solo. Infatti, i box, oggi giorno, presentano una quantità di risorse sempre crescente, rispetto alle necessità reali. Questo conduce gli attaccanti nel tentare d'accedere ai computers per:

- Sfruttare le risorse locali, per l'esecuzione di particolari programmi richiedenti molte risorse disponibili (es. come postazione per attacchi informatici, come bot/connessioni bouncer per varie funzioni su chat IRC ecc.)
- Sfruttare le risorse locali, per la conservazione e la condivisione di dati (es. materiale coperto da copyright, pedo-pornografia ecc.)
- Usare il sistema locale come schermo, durante l'esecuzione di altre attività illecite (es. attacchi ad istituzioni governative o breaking in sistemi finanziari), al fine di permettere, all'attaccante, di non essere individuato
- Usare le risorse disponibili, per effettuare attacchi DoS/DDoS, contro siti remoti (es. per attacchi sincronizzati, con altre postazioni, verso un particolare host/sito della rete Internet)
- Usare le risorse locali per l'elaborazione di dati complessi, richiedenti delle potenze di calcolo di una certa entità (es. per la decrittazione di dati/informazioni ecc.)
- Modificare i dati e le informazioni contenute all'interno del box, per vari motivi
- Causare danni al sistema; solitamente, questo non accade se non in particolari casi, ove l'unico intento dell'intrusione non era quello di sfruttare le risorse presenti, bensì, di causare un danno a breve termine, ma dagli attaccanti più esperti, tutto ciò equivale ad una perdita di tempo, restituendo una lieve soddisfazione personale

Tutti gli esperti dicono che l'unico computer sicuro è un computer spento. E' così facile entrare in un PC altrui?

Non per aumentare l'isteria generale, ma l'unico computer sicuro (in tutto e per tutto) è quello completamente spento ed isolato (senza alcuna fonte di alimentazione se non la batteria tampone della scheda madre, completamente innocente ed innocua).
Sfortunatamente, ogni giorno vengono diffusi bollettini di sicurezza, riguardo nuove vulnerabilità presenti nei software più comuni utilizzati (es. dai sistemi operativi). Non solo è semplice sfruttare un errore di programmazione per costringere il computer nell'aprire un varco d'accesso, bensì, esistono anche altri sistemi per ottenere lo stesso risultato (un esempio banalissimo è l'impiego di una backdoor, all'interno di un malware, oppure di un RAT erroneamente configurato, attivo nell'OS del box da attaccare). A causa della complessità sempre crescente, degli applicativi odierni e al fine di abbattere i costi di vendita, il procedimento di testing, per la rimozione degli errori presenti nel codice, spesso non avviene in modo soddisfacente o totale.
Oltre a questo problema, occorre sottolineare anche i tempi di particolar rischio da quando un problema viene scoperto o notificato (cosa che non sempre avviene, pilastro su cui si basa la creazione di quegli exploiter definiti "0day") fino a quando non viene prodotta e applicata una patch correttiva (spesso, certe realtà di rete risultano esser particolarmente esposte ad eventuali rischi, in quanto, l'amministratore non applica le dovute correzioni ai programmi presenti).
Molte notifiche d'incidente, infatti, riguardo l'avvenuta intrusione, da parte di un estraneo, presso il CERT/CC, potevano esser evitate, se l'admin responsabile dell'aspetto relativo alla sicurezza, avesse applicato le patch di sicurezza aggiornate, non appena queste risultavano disponibili nei siti appositi.
Altri problemi potrebbero essere la presenza di backdoor incrociate o nidificate, introdotte da coders non troppo zelanti, sollecitate solo in caso di particolari eventi (es. quando si esegue un programma con delle stringhe di software sfuggite al controllo, da parte del team addetto, oppure scritte in modo tale da apparire, a prima vista, del tutto innocue, quando, in realtà, se combinate con delle librerie dinamiche esterne, possono rappresentare una reale vulnerabilità sfruttabile).
In certi casi, è, addirittura, la configurazione predefinita del programma a rappresentare un potenziale pericolo per la sicurezza del sistema (es. i settaggi del Sock Wingate, oppure alcuni programmi di chat che permettono l'esecuzione, dall'esterno, di particolari comandi nel box).

Approfondimenti sulla Sicurezza: Connessione Dial-On-Demand & Always On
 
Una connessione analogica dial-up tradizionale, si differenzia da una a banda larga, in quanto, viene impiegata, principalmente, per fornire servizi "dial-on-demand". Ciò significa che il computer si connette solo quando vi è la necessità di trasmettere dati (es. spedire un email, navigare in un sito web ecc.) in Internet. Allo scadere di un timer specifico, se non avviene uno scambio di traffico definito come "interessante", la connessione viene interrotta. Ad ogni sessione, il dispositivo che effettua il setup della chiamata, colloquia con il server DHCP offerto dall'ISP, ottenendo, ogni volta, un indirizzo IP diverso (detto anche, dinamico).
Nel caso del link a banda larga, detto anche Always-On, non vi sono setup di chiamata, il box/gateway è pensato per essere sempre connessp alla rete Internet, pertanto, viene dotato di un indirizzo statico (ossia che non cambia tra le sessioni). In particolare, ciò non avviene sempre, in quanto, gli IP disponibili nella rete si stanno esaurendo, pertanto, i fornitori di servizi preferiscono fornire, comunque, degli IP dinamici. Rimane il fatto che, a causa della natura stessa del tipo di connessione, tali IP cambierebbero di rado.
Questa diversità, però, presenta dei fattori, nel contesto della sicurezza. Infatti, per un attaccante è molto più difficile, ottenere dei vantaggi da un sistema "Dial-On-Demand", con indirizzo dinamico, rispetto ad uno statico, in quanto, il box compromesso non sarebbe sempre disponibile per una sollecitazione da remoto, ed eventuali programmi presenti nell'OS, finalizzati nell'attivare e tener sempre attivo questo genere di connessione, desterebbero i sospetti dell'amministratore/utente locale.
Nel caso di un servizio Always-On, l'host ha un indirizzo che cambia con meno frequenza, rendendo, quest'ultimo, un bersaglio più facile da colpire.
Ad inasprire, ulteriormente, la situazione, è anche la suddivisione in range, operata dagli ISP, riguardo gli indirizzi da assegnare a tutti gli utenti con connessione Always-On. Questo permette, ad un attaccante sufficientemente esperto, di capire quale intervallo colpire per esser sicuro di trovare degli host sempre disponibili e facilmente sollecitabili, successivamente, da remoto.