Phishing Pharming Spyware e Keylogger

1

Nuove Forme di Reati Informatici Approfondimenti
tecnici
Angelo Giuseppe de Micheli Isabella Merzagora
Betsos Guendalina Gentile - Giuseppe Tarantino
- Stefano Corti Cattedra di Criminologia
(Titolare Prof.ssa I. Merzagora
Betsos) Laboratorio di Istopatologia
Forense Istituto di Medicina Legale e delle
Assicurazioni Università degli Studi
Milano Direttore Prof. A. Farneti
2
Pharming e Phishing

• Si tratta di due differenti tecniche finalizzate
  alla sottrazione di dati sensibili (ad esempio
  credenziali di Login e password) per ottenere
  denaro o per usufruire illegalmente di servizi
• Pur trattandosi di tecniche distinte, spesso gli
  attacchi più pericolosi prevedono una efficiente
  combinazione di strumenti quali Spyware e
  Keylogger

3
Pharming e Phishing

• La tecnica del Pharming sfrutta le vulnerabilità
  dei sistemi di server sui quali si basa il
  meccanismo DNS per la risoluzione dei nomi di
  dominio. La tecnica è denominata DNS Spoofing
  ovvero falsificazione di un nome di dominio.

4
Pharming e Phishing

• La tecnica del phishing prevede il DNS Spoofing
  per linvio di email fasulle e sfrutta
  vulnerabilità degli applicativi lato desktop per
  la cattura più o meno volontaria e diretta di
  dati sensibili e credenziali di accesso

5
Breve analisi di un semplice caso di PhishingIn
questo caso lattacco di Phishing si limita
allinvio di una email fasulla che invita a
seguire un collegamento iperstestuale per forzare
lutente a inserire le proprie credenziali di
Login allinterno di un falso sito appositamente
preparato. La URL indicata utilizza il semplice
protocollo HTTP e il nome host non corrisponde al
reale dominio dellistituto bancario in
questione.
6
Breve analisi di un semplice caso

• Il caso precedentemente analizzato è estremamente
  semplice, in quanto prevede solamente la
  costruzione di un semplice sito e linvio di un
  banale messaggio di posta elettronica che invita
  un cliente di un servizio a confermare le proprie
  credenziali di accesso
• La URL (spesso su semplice protocollo HTTP, anche
  se viene indicato nel Link il protocollo HTTPs)
  può corrispondere a un dominio di primo o secondo
  livello spesso simile a quello del servizio
  originale oggetto di attacco. Ad esempio
  http//areaprivati.bancaintesa.com/... anziché
  https//privati.bancaintesa.it/...

7
Esempio di reindirizzamento del browser di una
componente specifica della pagina HTML delimitata
dai tag ltIFRAMEgt

• In questo caso solo la componente della pagina
  contenente la Form di Login viene caricata da un
  server secondario appartenente al Pharmer. Di
  fatto il codice HTML del resto della pagina viene
  inviato al browser direttamente dal server
  corretto. Ricordiamo che lutilizzo dei Frameset
  è stato deprecato dallo stesso consorzio W3 che
  raccomanda di utilizzare la sintassi CSS e XHTML
• Per informazioni consultare il sito ufficiale
  www.w3.org

8
Vediamo un possibile esempio con un caso
concreto. Ricordiamo che i portali bancari e i
relativi servizi on-line sono in assoluto tra i
più sicuri e protetti. Il seguente esempio non
intende riportare un baco nel codice, ma
semplicemente mostrare come sia possibile
individuare un elemento tecnico meritevole di
approfondimento.

• La pagina web visibile è essenzialmente
• basata su HTML 4.01 Transitional. La form
• di Login che contiene i campi di testo dove
• inserire le proprie credenziali viene invece
• caricata successivamente ( HTTPs )
• Questo è il codice che delimita la presenza
• di un IFRAME (frame flottante)
• ltiframe src"https//onlinea.unicreditbanca.it/nb/
  
• it/MiniBoxLogin.jsp" width"315"
  height"22" marginwidth"0" marginheight"0"
  scrolling"no" frameborder"0" title"Codici di
  autenticazioni per l'area protetta e riservata
  privati"gt
• lt/iframegt
• La URL oggetto di attacco di Pharming
• potrebbe quindi essere quella specificata
• nellattributo src del tag ltiframegt

9
Ecco dunque che lutente difficilmente
riuscirebbe a rendersi conto che la Form di Login
viene caricata da un server diverso da quello di
competenza poiché il codice HTML della Form
stessa è immerso nel codice della pagina
principale. La URL può essere modificata in
locale oppure il server DNS adibito alla
risoluzione può essere stato manipolato per
forzare il reindirizzamento ad altro dominio.
10
Vediamo brevemente come sia possibile mettere in
atto un attacco di Phishing o di Pharming

• Abbiamo visto che il caso più semplice consiste
  nellinvio di messaggi di posta elettronica che
  invitano a seguire Link pericolosi e fraudolenti.
• Gli indirizzi email di utenti potenziali vittime
  di attacchi di Phishing vengono carpiti mediante
  lutilizzo di Spyware in esecuzione in background
  sul PC locale degli utenti medesimi, che spesso
  ignorano completamente la loro presenza sulla
  propria macchina.
• Questi Spyware eseguono un monitoraggio accurato
  delle attività dellutente in rete e dei siti
  visitati. Provvedono quindi a trasmettere gli
  indirizzi a particolari server dedicati, spesso
  localizzati geograficamente molto distanti dal
  paese di origine.
• Gli Spyware o Trojan Horse sono spesso
  incapsulati in programmi shareware o freeware
  distribuiti gratuitamente sulla Rete.
• Il questo modo un Pharmer o un Phisher (oltre
  ovviamente che decine di Spammer) è in grado di
  conoscere un potenziale indirizzo email che
  utilizza un determinato servizio on-line (es
  portali bancari) e inviare così le proprie email
  fraudolente.

11
Vediamo brevemente come sia possibile prevenire
un attacco di Phishing

• Mantenere sempre aggiornate le definizioni di
  Antivirus e Anti-Spyware, prestando attenzione
  anche alle eventuali nuove release distribuite
  dal produttore del software.
• Ignorare completamente messaggi di posta
  elettronica sospetti e non seguire collegamenti
  ipertestuali allinterno dei messaggi di posta
  elettronica.
• Preferire Client di posta diversi da Outlook
  Express e preferire soluzioni Open Source.
• Impostare la visualizzazione delle email in
  arrivo su PLAIN-TEXT e MAI in modalità HTML.

12
Vediamo brevemente come sia possibile prevenire
un attacco diretto verso i nostri Personal
Computer

• Leggere sempre con attenzione le clausole
  riportate del contratto di licenza nel momento in
  cui si installa un nuovo software sul proprio
  personal computer, con particolare riferimento a
  programmi gratuiti e applicativi di file sharing.
• Acquisire un minimo di conoscenza dei protocolli
  di rete (TCP/IP) e del modello ISO/OSI.
• Installare un Firewall che agisca anche da
  sniffer dei pacchetti in transito (ad esempio
  Ethereal) in modo da potere monitorare in caso di
  necessità i protocolli utilizzati da programmi
  che comunicano sulla rete e le porte TCP
  eventualmente aperte con relativi IP di
  destinazione e/o provenienza.

13
Breve analisi e considerazioni sul fenomeno dei
reati informatici negli anni 2005 e 2006 e Report
statistici

• Le osservazioni dei fenomeni accaduti negli anni
  2005 e 2006 hanno evidenziato un deciso
  cambiamento delle motivazioni e degli obiettivi
  che sono alla base della produzione e della
  diffusione dei cosiddetti virus informatici,
  malware e più in generale dei codici realizzati
  al fine di arrecare danno.
• E sensibilmente diminuita la produzione di virus
  (I-Worm) di tipo tradizionale, mentre è aumentata
  quella di Spyware e Cavalli di Troia, anche se
  nel complesso i codici noti hanno raggiunto
  limpressionante numero di 180.000, proiettato ad
  oltre 200.000 nel primo semestre del 2006.
• Le azioni criminose, a volte, sono addirittura
  organizzate su larga scala, attraverso la
  creazione di reti virtuali di computer dette
  Botnet. Queste reti sono costituite da
  computer di utenti INCONSAPEVOLI i cui PC sono
  stati raggiunti da appositi software. Lattività
  è anche favorita dal fatto che la realizzazione
  di Trojan risulta più semplice e breve delle
  attività necessarie alla creazione di un virus o
  di un Worm.

14
Grafico che indica il numero di vulnerabilità
gestite nel mese di settembre 2006 dal Centro
Elaborazione Dati e dal Servizio di Sicurezza
Informatica di una primaria azienda di credito
italiana.
15
Legenda relativa al grafico che indica il numero
di vulnerabilità gestite nel mese di settembre
2006 dal Centro Elaborazione Dati e dal Servizio
di Sicurezza Informatica di una primaria azienda
di credito italiana.
16
I pericoli maggiori per unazienda sono
rappresentati non tanto dagli attacchi
provenienti dallesterno, quanto piuttosto dai
cosiddetti Insiders

• Un dipendente di unazienda può essere in
  possesso di conoscenze e di permessi tali da
  poter compromettere lintegrità dei dati
  aziendali, eventualmente in collaborazione con
  aggressori esterni, in quanto può fornire loro
  tutti gli strumenti per sfruttare eventuali
  vulnerabilità del sistema informatico o
  semplicemente divulgare dati sensibili, riservati
  o ad elevata criticità.

17
Un dipendente di una grossa organizzazione o
azienda può avere motivazioni psicologiche per
utilizzare le conoscenze e i privilegi di accesso
alle applicazioni e condurre quindi un attacco ai
danni dellazienda per la quale lavora o per la
quale ha prestato servizio come collaboratore
freelance o come ex-dipendente

• Gli attacchi portati a buon fine provenienti da
  esterni di terze parti a danno di grosse
  istituzioni sono decisamente rari. Spesso i dati
  riservati vengono resi noti da personale interno,
  ad esempio gli addetti ai CED oppure dipendenti
  con profili aziendali ad alto livello di accesso
  ad applicazioni ed ambienti di elevata importanza
  e criticità.

18
Un breve sguardo alle reti virtuali criminose
denominate Botnet

• I virus creati per far parte di una Botnet, non
  appena assunto il controllo del sistema, devono
  poter fornire al proprio autore i dati relativi
  al sistema infettato. Questo avviene sfruttando i
  canali IRC e connettendosi ad un determinato
  canale, situato su un dato server, il quale
  spesso è protetto da una password per dare
  accesso esclusivo allautore. Tramite il canale
  di chat, lautore è in grado di controllare
  contemporaneamente tutti i sistemi infetti
  collegati al canale e impartire ordini a tutti
  queste macchine (a volte possono essere decine,
  centinaia, se non migliaia). In questo modo
  vengono ad esempio sferrati i cosiddetti attacchi
  DoS
• (Denial of Service Negazione di Servizio)

19
Vediamo brevemente alcune nuove forme di malware
attualmente in circolazione

• Trojan-Downloader ? Attendono che lutente si
  colleghi a Internet e scaricano di nascosto
  programmi di terze parti, di solito Trojan di
  altra natura.
• Backdoor ? Aprono una porta (in genere una
  porta TCP non assegnata da IANA) di accesso al
  computer e di mettono in ascolto, senza che
  lutente conceda il permesso o ne sia a
  conoscenza, in attesa che lhacker o altri
  prendano il controllo del PC, integrandolo in una
  Botnet
• Trojan-PSW ? una volta attivi ricercano password
  e altre informazione sensibili presenti
  allinterno del computer dellutente, normalmente
  rintracciabili in file standard come gli archivi
  di password registrate dal browser o le password
  di accesso ai server di posta elettronica
  registrate nel client di posta utilizzato
  (inutile dire che lattenzione è rivolta in modo
  specifico a Microsoft Internet Explorer e Outlook
  Express)

20
Vediamo sinteticamente alcune nuove forme di
malware attualmente in circolazione

• Trojan-Clickers ? I Trojan Clickers (detti anche
  Hijackers ovvero dirottatori) modificano la
  pagina di avvio dei più comuni browser
  inserendovi un sito di solito di natura erotica
  o addirittura pornografica con cui lhacker si
  è preventivamente accordato. Ogni volta che
  lutente visita il sito, anche involontariamente,
  lhacker guadagna un compenso. Sempre più spesso
  i Trojan-Clickers fanno apparire le pagine come
  pop-up durante la normale consultazione in
  Internet dellutente.
• E consigliabile prestare attenzione poiché
  pop-up di questo tipo possono essere scatenate
  anche dallapertura della home-page di un portale
  di servizi a pagamento. Tale pop-up fasulla
  potrebbe contenere form di login false o
  pericolose.

21
Attenzione ad eventuali finestre di Pop-Up che si
dovessero automaticamente aprire in
corrispondenza del caricamento della pagina
principale di un portale di servizi.

• E consigliabile prestare attenzione poiché
  Pop-Up di questo tipo possono essere scatenate
  anche dallapertura della home page di un portale
  di servizi a pagamento.
• Tali Pop-Up fasulle vengono in genere scaricate
  da un differente server controllato da un Pharmer
  e potrebbero contenere Form di Login false o
  pericolose.

22
Vediamo brevemente alcune nuove forme di malware
attualmente in circolazione

• Trojan Proxy ? Come le backdoor, essi aprono una
  porta nel PC che permette lentrata di un hacker,
  ma in questo caso lo scopo dellhacker sarà
  quello di collegarsi a Internet in modalità
  anonima (mascheramento dellindirizzo IP o
  tecniche di IP Spoofing). Qualsiasi attività
  dellhacker, infatti, avverrà attraverso il
  computer dellignaro utente. In tal modo, se la
  catena di IP coinvolti in tale attività è
  numerosa, è anche possibile tentare con successo
  di sviare le eventuali indagini giudiziarie.
• Trojan Spy (detti anche keylogger) ? estremamente
  pericolosi
• Simili ai Trojan-PSW, i Keylogger hanno un
  raggio dazione più ampio, visto che possono
  essere programmati per carpire informazioni
  specifiche o per memorizzare in appositi file
  tutti i tasti digitati sulla tastiera (NON SOLO
  DI PC!!) e inviare poi tali informazioni
  allhacker, che avrà quindi la possibilità di
  ottenere un grande numero di dati potenzialmente
  riservati.

23
Osserviamo più attentamente il fenomeno dei
cosiddetti Keylogger

• I Keylogger sono strumenti hardware o software in
  grado di intercettare e registrare tutto ciò che
  un utente digita su una tastiera.
• La tastiera può essere quella di un Personal
  Computer oppure di un PinPad per operazioni di
  vario tipo o addirittura qualsiasi tipo di
  periferica di immissione dati, persino la
  tastiera di un telefono cellulare.
• I Keylogger hardware sono dispositivi, spesso di
  minimo ingombro, installati fisicamente sulle
  macchine coinvolte.
• I Keylogger software sono Trojan spesso inviati
  per email che agiscono in background e inviano i
  file di testo con i dati catturati mediante
  protocolli FTP (porta 22 TCP) oppure
  appoggiandosi al browser (porta 80) o anche via
  e-mail utilizzando la porta 25 sul server SMTP
  dellutente. Tali porte sono spesso aperte anche
  in presenza di eventuali firewall.

24
Sistemi informatici suscettibili di infezione e
tecniche di mascheramento basate sulla
compressione degli eseguibili virali

• Le principali categorie di virus intesi come file
  eseguibili, sono quasi sempre progettati per i
  sistemi operativi di tipo desktop quali MS
  Windows o distribuzioni particolari di Linux.
  Sono piuttosto rari spyware, trojan o virus
  realizzati per i grossi sistemi di elaborazione
  centralizzati di tipo IBM Mainframe. (Sistemi
  operativi OS/390, z/OS)
• Spesso i file eseguibili dannosi vengono
  compressi con particolari tecniche per mascherare
  la loro presenza anche alle sonde degli antivirus
  (spesso se non tempestivamente aggiornati)

25
Tecniche di mascheramento di malware e fenomeno
Rootkit

• Riflessioni separate devono essere fatte per i
  Rootkit, ossia per quel software in grado di
  mascherare la propria presenza in un sistema
  grazie a sofisticate tecniche di STEALTH. Benchè
  noti da molto tempo in ambiente Unix, i Rootkit
  hanno iniziato a fare la loro comparsa in
  ambiente Windows, già da alcuni anni. Nel 2005 il
  loro uso è stato maggiore.
• Lo sviluppo di un rootkit è una procedura
  complessa, quindi non sempre giustificabile sul
  piano economico. Tuttavia le sue potenzialità di
  mascheramento sono notevoli e non è escluso che
  in futuro essi vengano utilizzati per aumentare
  la vita media e la resistenza di una Botnet.
• In effetti, grazie al codice sorgente e ai
  programmi già pronti per luso distribuiti da
  siti web, gli autori di malware possono
  facilmente reperire software ed informazioni per
  integrare dei rootkit nei Trojan Horses.

26
Breve considerazione sul fenomeno dello Spam e
dellingegneria sociale

• Luso dello spam, per il quale non si registrano
  diminuzioni di tendenze rispetto ai precedenti
  anni, ha permesso di raffinare tecniche
  finalizzate ad ingannare gli utenti e sottrarre
  loro informazioni puntando sulla buona fede delle
  persone. Anche le grandi tragedie che la
  collettività mondiale ha subito negli scorsi anni
  sono state usate in tale ambito
• Le notizie inerenti luragano Katrina sono state
  prese come spunto per generare messaggi di Spam e
  Phishing, di cui almeno uno contenente un
  collegamento verso un sito che, sfruttando una
  nota vulnerabilità di IE, scaricava ed installava
  un Trojan nel PC.
• Qualche mese prima, attacchi analoghi sfruttarono
  il moto di solidarietà verso la tragedia dello
  TSUNAMI nellOceano Indiano.

27
Vediamo ora in dettaglio alcune tecniche di
attacco in grado di compromettere la sicurezza
del nostro PC o della rete della nostra
azienda.Cross Site Scripting

• La grande diffusione dei siti a contenuto
  dinamico che utilizzano linguaggi lato server
  (come ASP, JSP e PHP) ha favorito lo sviluppo di
  particolari tecniche di hacking ideate per
  colpire gli utilizzatori delle applicazioni web.
  Una delle tecniche più conosciute prende il nome
  di Cross Site Scripting, spesso abbreviata con
  XSS.
• Il CSS permette ad un aggressore di inserire
  codice arbitrario come input di una applicazione
  web, così da modificarne il comportamento per
  perseguire i propri fini illeciti. Se uno script
  consente questo tipo di attacco, è facile
  confezionare una URL ad hoc e inviarla
  all'utente, il quale, ignaro di questa modifica,
  crederà di utilizzare il normale servizio offerto
  dal sito web vulnerabile. Pagine web o messaggi
  di posta elettronica in formato HTML sono i mezzi
  ideali per portare a termine l'attacco.
• I pericoli del Cross Site Scripting
• Quando utilizziamo un servizio che richiede
  l'inserimento di username e password, spesso
  questi dati vengono registrati sul nostro
  computer sotto forma di Cookie (un file di testo)
  per non doverli digitare ogni volta. Per ovvi
  motivi di sicurezza, i dati contenuti nel cookie
  sono accessibili solo dal sito web che li ha
  creati. Ma supponiamo che il sito in questione
  utilizzi una applicazione vulnerabile al XSS
  l'aggressore potrà iniettare un semplice
  frammento di codice JavaScript che legge il
  cookie dell'utente e lo riferisce. Il browser
  dell'utente permetterà la lettura, perchè in
  effetti il JavaScript viene eseguito da un sito
  autorizzato a leggere il cookie medesimo.

28
Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.Cross Site
Scripting

• Il Cross Site Scripting solitamente richiede un
  intervento attivo da parte della vittima per
  poter funzionare anche il click su un
  collegamento in una pagina web o in un messaggio
  di posta elettronica in formato HTML può
  nascondere insidie di questo tipo.
• Qualsiasi tipo di applicazione web può
  essere a rischio, se non implementa opportuni
  controlli sull'input degli utenti.
• Vediamo una semplice classificazione in
  base all'origine del programma
• Script semplici la relativa semplicità dei
  moderni linguaggi lato server permette la
  creazione di script da utilizzare sui siti web
  personali. Spesso però le tecniche basilari della
  programmazione sicura non sono conosciute e gli
  script offrono molti punti vulnerabili agli
  attacchi di XSS.
• Applicazioni web diffuse le applicazioni web
  create appositamente per essere diffuse e
  utilizzate in migliaia di siti (forum, chat,
  sistemi di gestione dei portali) solitamente sono
  sviluppate con un maggiore attenzione ai problemi
  della sicurezza. Ciò non esclude la scoperta
  periodica di nuove sviste nella programmazione
  che aprono le porte al Cross Site Scripting.
• Server web ancora più pericolosi sono i bug XSS
  quando riguardano i server web, applicazioni
  molto diffuse e che solitamente non lasciano
  presagire la vulnerabilità a questo tipo di
  attacco. L'unico vantaggio in questo caso è la
  possibilità di accorgersi tempestivamente
  dell'attacco in corso, tramite l'analisi dei log
  del server.

29
Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.Attacchi
DoS Denial of Service

• I centri di monitoraggio e i grandi siti
  dedicati alla sicurezza informatica stanno
  segnalando da diverse settimane un incremento
  preoccupante di attacchi di tipo DoS.
• Il DoS, acronimo di Denial of Service, è un
  tipo di minaccia che consiste nell'occupare le
  risorse di un sistema online rendendolo
  inutilizzabile al pubblico, per esempio azzerando
  tutta la banda a disposizione. Inizialmente si
  trattava di una forma di attacco realizzata come
  curiosità tecnologica da parte di 'cracker'
  convenzionali oppure come arma di dissenso verso
  istituzioni o imprese commerciali. E' rimasto per
  esempio famoso l'attacco DoS che rese
  inaccessibile per diversi giorni il sito
  ufficiale di SCO a seguito della sua causa sulle
  proprietà intellettuali di Linux l'azienda fu
  costretta a ricorrere a un altro dominio per
  continuare a essere presente online.

30
Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.Attacchi
DoS Denial of Service

• Per generare un attacco DoS è
  necessario violare un grande numero di computer
  di ignari utenti, prenderne il controllo e fare
  in modo che questi sviluppino traffico verso il
  sistema designato per lattacco finale.
• In questi attacchi vengono impiegati
  pacchetti ICMP ed altri protocolli per la
  diagnosi delle reti.
• Inviando infatti milioni di Ping da
  altrettanti computer sparsi per il mondo si può
  determinare lazzeramento totale di molti portali
  e servizi della Rete.In questo tipo di attacco
  il rapporto è però di tipo uno a uno. Un
  pacchetto in uscita da un sistema pedina
  comporta la ricezione di un solo pacchetto nel
  sistema sotto attacco. Se per mettere in
  ginocchio la vittima servono un milione di
  pacchetti al secondo, sarà necessario inviare un
  numero pari di pacchetti dai sistemi controllati.
  Servono quindi parecchi computer per avere
  successo.
• Visto laccresciuto interesse per la
  sicurezza informatica non è detto che sia
  semplice trovare un numero così elevato di
  computer client in cui sia possibile inoculare il
  codice maligno che genera traffico. Anche
  trovandoli, buona parte dei sistemi potrebbe
  essere ripulita in breve tempo da antivirus,
  nuove patch di sicurezza o da tecnici e
  sistemisti specializzati.

31
Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.IP Spoofing
Falsificazioni di indirizzo IP

• In una rete di computer, con il termine di IP
  spoofing si indica una tecnica tramite la quale
  si crea un pacchetto IP nel quale viene
  falsificato lindirizzo IP del mittente.
• Nell'header di un pacchetto IP si trova uno
  specifico campo, il Source Address, il cui valore
  indica lindirizzo IP del mittente. Semplicemente
  modificando questo campo si può falsificare un
  pacchetto IP in modo tale da apparire come se
  fosse stato trasmesso da una macchina differente
• Questa tecnica può essere utilizzata per superare
  alcune tecniche difensive contro le intrusioni,
  in primis quelle basate sull'autenticazione
  dell'indirizzo IP. Infatti, è normale che in
  intranet aziendali l'autenticazione ad alcuni
  servizi avvenga sulla base dell'indirizzo IP,
  senza l'utilizzo di altri sistemi (come utente e
  password). Questo tipo di attacco ha tanto più
  successo tanto più i rapporti di "fiducia" tra
  due o più macchine sono forti.
• Una delle difese che si possono attuare contro
  questo tipo di attacco è l'utilizzo di packet
  filtering, impostando opportune regole sulla base
  delle quali viene deciso quali pacchetti
  dall'esterno possono essere trasmessi all'interno
  della rete aziendale e viceversa. Nello specifico
  caso, per evitare un attacco basato sullo
  spoofing basta impostare una serie di regole che
  vieti il passaggio dall'esterno verso l'interno
  della rete aziendale di pacchetti IP che abbiano
  come indirizzo IP sorgente quello di una macchina
  interna. Ovviamente si possono impostare anche
  delle regole in modo tale da evitare attacchi di
  spoofing dall'interno verso l'esterno.
• L'IP spoofing risulta essere una tecnica inutile
  per ottenere anonimato (come invece molti
  credono), in quanto chi invia il pacchetto non
  sarà, generalmente, in grado di proseguire in
  modo coerente la comunicazione, dato che le
  risposte saranno inviate all'indirizzo IP
  modificato.
• Si tratta di una tecnica utilizzata
  principalmente durante attacchi di tipo DoS e
  principalmente nella loro variante distribuita (o
  DDoS), per verificare che gli algoritmi e le
  policy di routing siano impostate correttamente.

32
Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.Port
Scanning

• Il Port Scanning è una tecnica utilizzata per
  raccogliere informazioni su un computer connesso
  ad una rete.
• Letteralmente significa "scansione delle porte" e
  consiste nell'inviare richieste di connessione al
  computer bersaglio (soprattutto pacchetti TCP,
  UDP e ICMP creati ad arte) elaborando le
  risposte è possibile stabilire (anche con
  precisione) quali servizi di rete siano attivi su
  quel computer. Una porta si dice "in ascolto"
  ("listening") o "aperta" quando vi è un servizio
  o programma che la usa.
• Il risultato della scansione di una porta
  rientra solitamente in una delle seguenti
  categorie
• aperta (accepted) l'host ha inviato una risposta
  indicando che un servizio è in ascolto su quella
  porta
• chiusa (denied) l'host ha inviato una risposta
  indicando che le connessioni alla porta saranno
  rifiutata
• bloccata (dropped) non c'è stata alcuna risposta
  dall'host
• filtrata (filtered) rileva la presenza di un
  Firewall o di un ostacolo di rete in grado di
  bloccare laccesso alla porta impedendo a Nmap di
  individuarne lo stato.
• Di per sé il port scanning non è pericoloso per i
  sistemi informatici, e viene comunemente usato
  dagli amministratori di sistema per effettuare
  controlli e manutenzione. Rivela però
  informazioni dettagliate che potrebbero essere
  usate da un eventuale attaccante per preparare
  facilmente una tecnica mirata finalizzata a
  destabilizzare la sicurezza del sistema, pertanto
  viene posta molta attenzione dagli amministratori
  a come e quando vengono effettuati port scan
  verso i computer della loro rete. Un buon
  amministratore di sistema deve sapere che un
  firewall ben configurato permette alle macchine
  di svolgere tutti i loro compiti, ma rende
  difficile (se non impossibile) la scansione delle
  porte.

33
Considerazioni finali e alcune misure di
sicurezza e prevenzione

• Le tecnologie informatiche sono ormai parte
  integrante delle nostre attività quotidiane. La
  Rete svolge funzioni sempre più importanti non
  solo quale mezzo di scambio di semplici
  informazioni statiche, ma soprattutto permette lo
  svolgimento di attività estremamente
  diversificate. I nostri computer, oltre ad essere
  in alcuni casi un semplice strumento di
  comunicazione e svago, diventano sempre più
  importanti e funzionali per la fruizione di varie
  tipologie di servizi.
• Citiamo a titolo di esempio alcuni casi
  reali destinati ad assumere sempre più importanza
  nel prossimo, immediato futuro

34
Considerazioni finali e alcune misure di
sicurezza e prevenzione

• Servizi Bancari e Servizi di Pubbliche
  Amministrazioni
• Possibilità di svolgere quasi tutte le
  operazioni sul proprio conto corrente, inclusa la
  compravendita di titoli e azioni, collegandosi
  tramite Internet al portale del proprio istituto
  di credito.

35
Considerazioni finali e alcune misure di
sicurezza e prevenzione

• Portali di Commercio
• Elettronico
• La relativa semplicità di implementazione di
  procedure automatizzate offerte da terze parti
  (ad esempio il servizio PayPal) permette anche
  alla piccola azienda di offrire al cliente un
  servizio di pagamento sicuro ed affidabile
  tramite carta di credito per l'acquisto di beni e
  servizi vari.

36
Considerazioni finali e alcune misure di
sicurezza e prevenzione

• Portali di Facoltà Universitarie
• In questo caso non c'è bisogno di
  commento. L'uso del PC è assolutamente
  indispensabile per le iscrizioni agli esami, per
  accedere ai servizi di eLearning della propria
  facoltà (laddove presenti e disponibili) e per
  tenere sotto controllo il proprio piano di studi.
• Musica, Cinema e Intrattenimento
• In Rete sono presenti moltissimi portali
  che offrono il download di musica o più in
  generale di contenuti multimediali mediante
  pagamento tramite carta di credito.
• Siti Aziendali e Servizi diversi
• Anche in questo caso i servizi presenti
  sottoforma di applicativi web sono numerosissimi
  e coprono anche aree e campi estremamente
  specifici.

37
Considerazioni finali e alcune misure di
sicurezza e prevenzione

• Paradossalmente l'utilizzo di questi strumenti,
  estremamente semplici ed immediati soprattutto
  per le nuove generazioni, allontanano sempre di
  più l'utente finale dalle conoscenze specifiche
  di ciò che avviene all'interno delle procedure
  informatiche (fatta ovviamente eccezione per
  programmatori, analisti, sistemisti, tecnici e
  così via)

38
Il grado di sicurezza maggiore per un sistema
informatico è direttamente proporzionale alla
preparazione, alla formazione personale e
competenza tecnica della persona che lo utilizza
39
Brevi misure di sicurezza

• Per questo motivo, secondo l'opinione di chi
  scrive, è essenziale formare le nuove generazioni
  non tanto nel semplice utilizzo del proprio PC
  (S.O. Windows, Pacchetto Office). Queste
  conoscenze sono già in possesso di molti giovani,
  pur non avendo nel proprio bagaglio culturale la
  conoscenza di una terminologia tecnica persino
  elementare.
• Ai giovani serve la formazione etica e un minimo
  di conoscenza tecnica che vada oltre la semplice
  manualità. Non serve a nulla sapere cambiare una
  scheda video, quando non si conosce nemmeno il
  significato del termine "protocollo". La
  formazione etica è ancora più importante, laddove
  il mercato a volte propone software ludico troppe
  volte di estrema violenza e brutalità e stampa
  specializzata (nonché siti internet) che invitano
  il giovane a diventare un potenziale cracker (o
  meglio "Script Kid" visto che molti programmi
  "malware" vengono distribuiti già confezionati e
  pronti per l'uso). In sostanza, cerchiamo di non
  utilizzare complesse tecnologie solamente per
  mandare inutili messaggi di posta elettronica o
  MMS. Si tratta di strumenti potenzialmente
  pericolosi anche per i sistemi operativi a bordo
  di telefoni cellulari e il fenomeno purtroppo
  affligge anche fasce di età ben più elevate. Si
  dovrebbero anche evitare messaggi di posta
  elettronica assolutamente inutili, volgari e
  magari contenenti elementi che SPESSO
  INCONSAPEVOLEMENTE DA PARTE DEL MITTENTE
  compromettono la sicurezza dei PC destinatari.

40
Brevi misure di sicurezza

• Per un'azienda, anche se si tratta di un piccola
  media impresa, la responsabilità dei sistemi
  informativi deve essere affidata a personale
  specializzato e di assoluta fiducia, in quando
  allo stato attuale, nessun dipendente adibito ad
  altre mansioni si dovrebbe occupare anche
  dell'aspetto informatico e tecnologico della rete
  e delle macchine presenti all'interno
  dell'azienda, specialmente se i dati elaborati
  rappresentano informazioni sensibili o di elevata
  riservatezza.
• Nel caso di utenti privati, purtroppo, mancano
  spesso adeguate conoscenze in termini di
  sicurezza e di conoscenze hardware/software.
  Conoscenze che dovrebbero essere in possesso di
  chiunque utilizzi il PC non limitatamente a scopi
  ludici o di intrattenimento.

41
Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire

• Non utilizzare MAI un personal computer per
  accedere a servizi di portali bancari, di trading
  on-line o comunque applicazioni web direttamente
  connesse con l'amministrazione del proprio
  portafoglio, laddove la medesima macchina sia
  stata precedentemente (anche a distanza di tempo)
  utilizzata per visionare siti con contenuti
  erotici e/o pornografici oppure portali di
  intrattenimento con download di salvaschermi,
  suonerie per cellulari ed altre trivialità
  analoghe, soprattutto se la navigazione è stata
  eseguita utilizzando il browser Microsoft
  Internet Explorer.

42
Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire

• Installare un Antivirus, mantenere periodicamente
  aggiornate le release e le definizioni ed
  eseguire scansioni regolari dell'intero sistema.
• Installare un programma anti-spyware con
  periodici aggiornamenti ed eseguire la scansione
  dell'intero sistema (quindi di TUTTE le
  partizioni eventualmente presenti sui dischi)
  almeno una volta ogni dieci giorni.
• Installare un firewall e prendere dimestichezza
  con i più comuni protocolli TCP/IP e sulle
  "well-known ports" assegnate da IANA. Il firewall
  deve anche potere eseguire la cattura dei
  pacchetti generati dal traffico sviluppato
  durante l'attività in rete e agire da sniffer sui
  dati in transito, eseguendo analisi di
  protocolli, porte, indirizzi IP e dump dei
  pacchetti in entrata e in uscita. I report
  generati da tali sonde devono essere memorizzati
  in appositi files di Log ed esaminati
  periodicamente.

43
Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire

• Verificare periodicamente i files di Log delle
  sonde alla ricerca di applicazioni che possano
  avere effettuato un hijacking, ovvero che si
  siano appoggiate ad altre applicazioni (un
  esempio tipico sono le funzionalità FTP di IE)
  cui è stata data l'autorizzazione ad accedere
  alla rete in modo permanente, per propagare dati
  sensibili eventualmente catturati da Keylogger o
  Trojan. Questo è un punto di ESTREMA IMPORTANZA.
• Il firewall dovrebbe anche prevedere la
  possibilità di pingare indirizzi IP sospetti,
  segnalare eventuali port scan diretti alla
  propria macchina e soprattutto eseguire in
  modalità GUI il TRACERT di un IP non identificato
  con eventualmente l'interrogazione del WHOIS.
• Evitare le reti Wireless, soprattutto negli
  uffici. Non connettersi mai a Internet passando
  attraverso un Access Point senza la presenza di
  un Firewall e senza avere preventivamente
  eseguito la configurazione per la cifratura dei
  dati in transito.

44
Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire

• Nel caso di piccole reti domestiche o comunque di
  tipo SOHO è opportuno dedicare una macchina con a
  bordo un server Proxy in grado di filtrare tutto
  il traffico sviluppato dai client in maniera del
  tutto analoga al firewall (che peraltro deve
  essere installato anche su ciascun PC). E'
  opportuno dedicare anche un po' di tempo alla
  configurazione di un "web-washer, ossia un
  applicativo software in grado di eseguire
  un'approfondita analisi del codice HTML e
  Javascript che compone la pagina richiesta, prima
  che la medesima pagina venga visualizzata nel
  browser, alla ricerca di collegamenti
  ipertestuali sospetti o determinate parole chiave
  stabilite dall'amministratore di sistema.
• Nel caso di transazioni su portali di commercio
  elettronico (specie se poco conosciuti o poco
  attendibili) verificare SEMPRE l'utilizzo del
  protocollo HTTPs in tutta la catena di immissione
  dati e verificare SEMPRE la URL presente nella
  barra degli indirizzi del browser. Utilizzare
  preferibilmente le carte di credito prepagate (in
  grado di generare numeri di carte di credito
  virtuali, a scadenza e di importo limitato) e in
  ogni caso non utilizzare MAI la propria carta di
  credito su siti di commercio elettronico poco
  attendibili o poco conosciuti.

45
Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire

• Evitare di inviare messaggi di posta elettronica
  con contenuti multimediali complessi, come applet
  Java, animazioni shockwave e così via e
  sottoporre a scansione automatica ogni allegato
  in uscita. Spesso inviando questi inutili e
  futili messaggi può accadere che il mittente
  invia INCOSAPEVOLMENTE anche varie tipologie di
  Script pericolosi o malware di vario tipo,
  soprattutto se l'utente destinatario visualizza
  il messaggio direttamente in formato HTML
  all'interno di Outlook (Express).
• Preferire sempre i formati di posta in PLAIN TEXT
  piuttosto che messaggi composti in HTML, come se
  fossero pagine web. Spesso infatti questi
  messaggi possono contenere codice che scarica
  dati da collegamenti contenuti all'interno del
  messaggio stesso e attivati immediatamente una
  volta che la pagina che compone il messaggio
  viene visualizzata.