Title: Phishing Pharming Spyware e Keylogger
1Nuove Forme di Reati Informatici Approfondimenti
tecnici
Angelo Giuseppe de Micheli Isabella Merzagora
Betsos Guendalina Gentile - Giuseppe Tarantino
- Stefano Corti Cattedra di Criminologia
(Titolare Prof.ssa I. Merzagora
Betsos) Laboratorio di Istopatologia
Forense Istituto di Medicina Legale e delle
Assicurazioni Università degli Studi
Milano Direttore Prof. A. Farneti
2Pharming e Phishing
- Si tratta di due differenti tecniche finalizzate
alla sottrazione di dati sensibili (ad esempio
credenziali di Login e password) per ottenere
denaro o per usufruire illegalmente di servizi - Pur trattandosi di tecniche distinte, spesso gli
attacchi più pericolosi prevedono una efficiente
combinazione di strumenti quali Spyware e
Keylogger
3Pharming e Phishing
- La tecnica del Pharming sfrutta le vulnerabilità
dei sistemi di server sui quali si basa il
meccanismo DNS per la risoluzione dei nomi di
dominio. La tecnica è denominata DNS Spoofing
ovvero falsificazione di un nome di dominio.
4Pharming e Phishing
- La tecnica del phishing prevede il DNS Spoofing
per linvio di email fasulle e sfrutta
vulnerabilità degli applicativi lato desktop per
la cattura più o meno volontaria e diretta di
dati sensibili e credenziali di accesso
5Breve analisi di un semplice caso di PhishingIn
questo caso lattacco di Phishing si limita
allinvio di una email fasulla che invita a
seguire un collegamento iperstestuale per forzare
lutente a inserire le proprie credenziali di
Login allinterno di un falso sito appositamente
preparato. La URL indicata utilizza il semplice
protocollo HTTP e il nome host non corrisponde al
reale dominio dellistituto bancario in
questione.
6Breve analisi di un semplice caso
- Il caso precedentemente analizzato è estremamente
semplice, in quanto prevede solamente la
costruzione di un semplice sito e linvio di un
banale messaggio di posta elettronica che invita
un cliente di un servizio a confermare le proprie
credenziali di accesso - La URL (spesso su semplice protocollo HTTP, anche
se viene indicato nel Link il protocollo HTTPs)
può corrispondere a un dominio di primo o secondo
livello spesso simile a quello del servizio
originale oggetto di attacco. Ad esempio
http//areaprivati.bancaintesa.com/... anziché
https//privati.bancaintesa.it/...
7Esempio di reindirizzamento del browser di una
componente specifica della pagina HTML delimitata
dai tag ltIFRAMEgt
- In questo caso solo la componente della pagina
contenente la Form di Login viene caricata da un
server secondario appartenente al Pharmer. Di
fatto il codice HTML del resto della pagina viene
inviato al browser direttamente dal server
corretto. Ricordiamo che lutilizzo dei Frameset
è stato deprecato dallo stesso consorzio W3 che
raccomanda di utilizzare la sintassi CSS e XHTML - Per informazioni consultare il sito ufficiale
www.w3.org
8Vediamo un possibile esempio con un caso
concreto. Ricordiamo che i portali bancari e i
relativi servizi on-line sono in assoluto tra i
più sicuri e protetti. Il seguente esempio non
intende riportare un baco nel codice, ma
semplicemente mostrare come sia possibile
individuare un elemento tecnico meritevole di
approfondimento.
- La pagina web visibile è essenzialmente
- basata su HTML 4.01 Transitional. La form
- di Login che contiene i campi di testo dove
- inserire le proprie credenziali viene invece
- caricata successivamente ( HTTPs )
- Questo è il codice che delimita la presenza
- di un IFRAME (frame flottante)
- ltiframe src"https//onlinea.unicreditbanca.it/nb/
- it/MiniBoxLogin.jsp" width"315"
height"22" marginwidth"0" marginheight"0"
scrolling"no" frameborder"0" title"Codici di
autenticazioni per l'area protetta e riservata
privati"gt - lt/iframegt
- La URL oggetto di attacco di Pharming
- potrebbe quindi essere quella specificata
- nellattributo src del tag ltiframegt
9Ecco dunque che lutente difficilmente
riuscirebbe a rendersi conto che la Form di Login
viene caricata da un server diverso da quello di
competenza poiché il codice HTML della Form
stessa è immerso nel codice della pagina
principale. La URL può essere modificata in
locale oppure il server DNS adibito alla
risoluzione può essere stato manipolato per
forzare il reindirizzamento ad altro dominio.
10Vediamo brevemente come sia possibile mettere in
atto un attacco di Phishing o di Pharming
- Abbiamo visto che il caso più semplice consiste
nellinvio di messaggi di posta elettronica che
invitano a seguire Link pericolosi e fraudolenti. - Gli indirizzi email di utenti potenziali vittime
di attacchi di Phishing vengono carpiti mediante
lutilizzo di Spyware in esecuzione in background
sul PC locale degli utenti medesimi, che spesso
ignorano completamente la loro presenza sulla
propria macchina. - Questi Spyware eseguono un monitoraggio accurato
delle attività dellutente in rete e dei siti
visitati. Provvedono quindi a trasmettere gli
indirizzi a particolari server dedicati, spesso
localizzati geograficamente molto distanti dal
paese di origine. - Gli Spyware o Trojan Horse sono spesso
incapsulati in programmi shareware o freeware
distribuiti gratuitamente sulla Rete. - Il questo modo un Pharmer o un Phisher (oltre
ovviamente che decine di Spammer) è in grado di
conoscere un potenziale indirizzo email che
utilizza un determinato servizio on-line (es
portali bancari) e inviare così le proprie email
fraudolente.
11Vediamo brevemente come sia possibile prevenire
un attacco di Phishing
- Mantenere sempre aggiornate le definizioni di
Antivirus e Anti-Spyware, prestando attenzione
anche alle eventuali nuove release distribuite
dal produttore del software. - Ignorare completamente messaggi di posta
elettronica sospetti e non seguire collegamenti
ipertestuali allinterno dei messaggi di posta
elettronica. - Preferire Client di posta diversi da Outlook
Express e preferire soluzioni Open Source. - Impostare la visualizzazione delle email in
arrivo su PLAIN-TEXT e MAI in modalità HTML.
12Vediamo brevemente come sia possibile prevenire
un attacco diretto verso i nostri Personal
Computer
- Leggere sempre con attenzione le clausole
riportate del contratto di licenza nel momento in
cui si installa un nuovo software sul proprio
personal computer, con particolare riferimento a
programmi gratuiti e applicativi di file sharing. - Acquisire un minimo di conoscenza dei protocolli
di rete (TCP/IP) e del modello ISO/OSI. - Installare un Firewall che agisca anche da
sniffer dei pacchetti in transito (ad esempio
Ethereal) in modo da potere monitorare in caso di
necessità i protocolli utilizzati da programmi
che comunicano sulla rete e le porte TCP
eventualmente aperte con relativi IP di
destinazione e/o provenienza.
13Breve analisi e considerazioni sul fenomeno dei
reati informatici negli anni 2005 e 2006 e Report
statistici
- Le osservazioni dei fenomeni accaduti negli anni
2005 e 2006 hanno evidenziato un deciso
cambiamento delle motivazioni e degli obiettivi
che sono alla base della produzione e della
diffusione dei cosiddetti virus informatici,
malware e più in generale dei codici realizzati
al fine di arrecare danno. - E sensibilmente diminuita la produzione di virus
(I-Worm) di tipo tradizionale, mentre è aumentata
quella di Spyware e Cavalli di Troia, anche se
nel complesso i codici noti hanno raggiunto
limpressionante numero di 180.000, proiettato ad
oltre 200.000 nel primo semestre del 2006. - Le azioni criminose, a volte, sono addirittura
organizzate su larga scala, attraverso la
creazione di reti virtuali di computer dette
Botnet. Queste reti sono costituite da
computer di utenti INCONSAPEVOLI i cui PC sono
stati raggiunti da appositi software. Lattività
è anche favorita dal fatto che la realizzazione
di Trojan risulta più semplice e breve delle
attività necessarie alla creazione di un virus o
di un Worm.
14Grafico che indica il numero di vulnerabilità
gestite nel mese di settembre 2006 dal Centro
Elaborazione Dati e dal Servizio di Sicurezza
Informatica di una primaria azienda di credito
italiana.
15Legenda relativa al grafico che indica il numero
di vulnerabilità gestite nel mese di settembre
2006 dal Centro Elaborazione Dati e dal Servizio
di Sicurezza Informatica di una primaria azienda
di credito italiana.
16I pericoli maggiori per unazienda sono
rappresentati non tanto dagli attacchi
provenienti dallesterno, quanto piuttosto dai
cosiddetti Insiders
- Un dipendente di unazienda può essere in
possesso di conoscenze e di permessi tali da
poter compromettere lintegrità dei dati
aziendali, eventualmente in collaborazione con
aggressori esterni, in quanto può fornire loro
tutti gli strumenti per sfruttare eventuali
vulnerabilità del sistema informatico o
semplicemente divulgare dati sensibili, riservati
o ad elevata criticità.
17Un dipendente di una grossa organizzazione o
azienda può avere motivazioni psicologiche per
utilizzare le conoscenze e i privilegi di accesso
alle applicazioni e condurre quindi un attacco ai
danni dellazienda per la quale lavora o per la
quale ha prestato servizio come collaboratore
freelance o come ex-dipendente
- Gli attacchi portati a buon fine provenienti da
esterni di terze parti a danno di grosse
istituzioni sono decisamente rari. Spesso i dati
riservati vengono resi noti da personale interno,
ad esempio gli addetti ai CED oppure dipendenti
con profili aziendali ad alto livello di accesso
ad applicazioni ed ambienti di elevata importanza
e criticità.
18Un breve sguardo alle reti virtuali criminose
denominate Botnet
- I virus creati per far parte di una Botnet, non
appena assunto il controllo del sistema, devono
poter fornire al proprio autore i dati relativi
al sistema infettato. Questo avviene sfruttando i
canali IRC e connettendosi ad un determinato
canale, situato su un dato server, il quale
spesso è protetto da una password per dare
accesso esclusivo allautore. Tramite il canale
di chat, lautore è in grado di controllare
contemporaneamente tutti i sistemi infetti
collegati al canale e impartire ordini a tutti
queste macchine (a volte possono essere decine,
centinaia, se non migliaia). In questo modo
vengono ad esempio sferrati i cosiddetti attacchi
DoS - (Denial of Service Negazione di Servizio)
19Vediamo brevemente alcune nuove forme di malware
attualmente in circolazione
- Trojan-Downloader ? Attendono che lutente si
colleghi a Internet e scaricano di nascosto
programmi di terze parti, di solito Trojan di
altra natura. - Backdoor ? Aprono una porta (in genere una
porta TCP non assegnata da IANA) di accesso al
computer e di mettono in ascolto, senza che
lutente conceda il permesso o ne sia a
conoscenza, in attesa che lhacker o altri
prendano il controllo del PC, integrandolo in una
Botnet - Trojan-PSW ? una volta attivi ricercano password
e altre informazione sensibili presenti
allinterno del computer dellutente, normalmente
rintracciabili in file standard come gli archivi
di password registrate dal browser o le password
di accesso ai server di posta elettronica
registrate nel client di posta utilizzato
(inutile dire che lattenzione è rivolta in modo
specifico a Microsoft Internet Explorer e Outlook
Express)
20Vediamo sinteticamente alcune nuove forme di
malware attualmente in circolazione
- Trojan-Clickers ? I Trojan Clickers (detti anche
Hijackers ovvero dirottatori) modificano la
pagina di avvio dei più comuni browser
inserendovi un sito di solito di natura erotica
o addirittura pornografica con cui lhacker si
è preventivamente accordato. Ogni volta che
lutente visita il sito, anche involontariamente,
lhacker guadagna un compenso. Sempre più spesso
i Trojan-Clickers fanno apparire le pagine come
pop-up durante la normale consultazione in
Internet dellutente. - E consigliabile prestare attenzione poiché
pop-up di questo tipo possono essere scatenate
anche dallapertura della home-page di un portale
di servizi a pagamento. Tale pop-up fasulla
potrebbe contenere form di login false o
pericolose.
21Attenzione ad eventuali finestre di Pop-Up che si
dovessero automaticamente aprire in
corrispondenza del caricamento della pagina
principale di un portale di servizi.
- E consigliabile prestare attenzione poiché
Pop-Up di questo tipo possono essere scatenate
anche dallapertura della home page di un portale
di servizi a pagamento. - Tali Pop-Up fasulle vengono in genere scaricate
da un differente server controllato da un Pharmer
e potrebbero contenere Form di Login false o
pericolose.
22Vediamo brevemente alcune nuove forme di malware
attualmente in circolazione
- Trojan Proxy ? Come le backdoor, essi aprono una
porta nel PC che permette lentrata di un hacker,
ma in questo caso lo scopo dellhacker sarà
quello di collegarsi a Internet in modalità
anonima (mascheramento dellindirizzo IP o
tecniche di IP Spoofing). Qualsiasi attività
dellhacker, infatti, avverrà attraverso il
computer dellignaro utente. In tal modo, se la
catena di IP coinvolti in tale attività è
numerosa, è anche possibile tentare con successo
di sviare le eventuali indagini giudiziarie. - Trojan Spy (detti anche keylogger) ? estremamente
pericolosi - Simili ai Trojan-PSW, i Keylogger hanno un
raggio dazione più ampio, visto che possono
essere programmati per carpire informazioni
specifiche o per memorizzare in appositi file
tutti i tasti digitati sulla tastiera (NON SOLO
DI PC!!) e inviare poi tali informazioni
allhacker, che avrà quindi la possibilità di
ottenere un grande numero di dati potenzialmente
riservati.
23Osserviamo più attentamente il fenomeno dei
cosiddetti Keylogger
- I Keylogger sono strumenti hardware o software in
grado di intercettare e registrare tutto ciò che
un utente digita su una tastiera. - La tastiera può essere quella di un Personal
Computer oppure di un PinPad per operazioni di
vario tipo o addirittura qualsiasi tipo di
periferica di immissione dati, persino la
tastiera di un telefono cellulare. - I Keylogger hardware sono dispositivi, spesso di
minimo ingombro, installati fisicamente sulle
macchine coinvolte. - I Keylogger software sono Trojan spesso inviati
per email che agiscono in background e inviano i
file di testo con i dati catturati mediante
protocolli FTP (porta 22 TCP) oppure
appoggiandosi al browser (porta 80) o anche via
e-mail utilizzando la porta 25 sul server SMTP
dellutente. Tali porte sono spesso aperte anche
in presenza di eventuali firewall.
24Sistemi informatici suscettibili di infezione e
tecniche di mascheramento basate sulla
compressione degli eseguibili virali
- Le principali categorie di virus intesi come file
eseguibili, sono quasi sempre progettati per i
sistemi operativi di tipo desktop quali MS
Windows o distribuzioni particolari di Linux.
Sono piuttosto rari spyware, trojan o virus
realizzati per i grossi sistemi di elaborazione
centralizzati di tipo IBM Mainframe. (Sistemi
operativi OS/390, z/OS) - Spesso i file eseguibili dannosi vengono
compressi con particolari tecniche per mascherare
la loro presenza anche alle sonde degli antivirus
(spesso se non tempestivamente aggiornati)
25Tecniche di mascheramento di malware e fenomeno
Rootkit
- Riflessioni separate devono essere fatte per i
Rootkit, ossia per quel software in grado di
mascherare la propria presenza in un sistema
grazie a sofisticate tecniche di STEALTH. Benchè
noti da molto tempo in ambiente Unix, i Rootkit
hanno iniziato a fare la loro comparsa in
ambiente Windows, già da alcuni anni. Nel 2005 il
loro uso è stato maggiore. - Lo sviluppo di un rootkit è una procedura
complessa, quindi non sempre giustificabile sul
piano economico. Tuttavia le sue potenzialità di
mascheramento sono notevoli e non è escluso che
in futuro essi vengano utilizzati per aumentare
la vita media e la resistenza di una Botnet. - In effetti, grazie al codice sorgente e ai
programmi già pronti per luso distribuiti da
siti web, gli autori di malware possono
facilmente reperire software ed informazioni per
integrare dei rootkit nei Trojan Horses.
26Breve considerazione sul fenomeno dello Spam e
dellingegneria sociale
- Luso dello spam, per il quale non si registrano
diminuzioni di tendenze rispetto ai precedenti
anni, ha permesso di raffinare tecniche
finalizzate ad ingannare gli utenti e sottrarre
loro informazioni puntando sulla buona fede delle
persone. Anche le grandi tragedie che la
collettività mondiale ha subito negli scorsi anni
sono state usate in tale ambito - Le notizie inerenti luragano Katrina sono state
prese come spunto per generare messaggi di Spam e
Phishing, di cui almeno uno contenente un
collegamento verso un sito che, sfruttando una
nota vulnerabilità di IE, scaricava ed installava
un Trojan nel PC. - Qualche mese prima, attacchi analoghi sfruttarono
il moto di solidarietà verso la tragedia dello
TSUNAMI nellOceano Indiano.
27Vediamo ora in dettaglio alcune tecniche di
attacco in grado di compromettere la sicurezza
del nostro PC o della rete della nostra
azienda.Cross Site Scripting
- La grande diffusione dei siti a contenuto
dinamico che utilizzano linguaggi lato server
(come ASP, JSP e PHP) ha favorito lo sviluppo di
particolari tecniche di hacking ideate per
colpire gli utilizzatori delle applicazioni web.
Una delle tecniche più conosciute prende il nome
di Cross Site Scripting, spesso abbreviata con
XSS. - Il CSS permette ad un aggressore di inserire
codice arbitrario come input di una applicazione
web, così da modificarne il comportamento per
perseguire i propri fini illeciti. Se uno script
consente questo tipo di attacco, è facile
confezionare una URL ad hoc e inviarla
all'utente, il quale, ignaro di questa modifica,
crederà di utilizzare il normale servizio offerto
dal sito web vulnerabile. Pagine web o messaggi
di posta elettronica in formato HTML sono i mezzi
ideali per portare a termine l'attacco. -
- I pericoli del Cross Site Scripting
- Quando utilizziamo un servizio che richiede
l'inserimento di username e password, spesso
questi dati vengono registrati sul nostro
computer sotto forma di Cookie (un file di testo)
per non doverli digitare ogni volta. Per ovvi
motivi di sicurezza, i dati contenuti nel cookie
sono accessibili solo dal sito web che li ha
creati. Ma supponiamo che il sito in questione
utilizzi una applicazione vulnerabile al XSS
l'aggressore potrà iniettare un semplice
frammento di codice JavaScript che legge il
cookie dell'utente e lo riferisce. Il browser
dell'utente permetterà la lettura, perchè in
effetti il JavaScript viene eseguito da un sito
autorizzato a leggere il cookie medesimo.
28Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.Cross Site
Scripting
- Il Cross Site Scripting solitamente richiede un
intervento attivo da parte della vittima per
poter funzionare anche il click su un
collegamento in una pagina web o in un messaggio
di posta elettronica in formato HTML può
nascondere insidie di questo tipo. - Qualsiasi tipo di applicazione web può
essere a rischio, se non implementa opportuni
controlli sull'input degli utenti. - Vediamo una semplice classificazione in
base all'origine del programma - Script semplici la relativa semplicità dei
moderni linguaggi lato server permette la
creazione di script da utilizzare sui siti web
personali. Spesso però le tecniche basilari della
programmazione sicura non sono conosciute e gli
script offrono molti punti vulnerabili agli
attacchi di XSS. - Applicazioni web diffuse le applicazioni web
create appositamente per essere diffuse e
utilizzate in migliaia di siti (forum, chat,
sistemi di gestione dei portali) solitamente sono
sviluppate con un maggiore attenzione ai problemi
della sicurezza. Ciò non esclude la scoperta
periodica di nuove sviste nella programmazione
che aprono le porte al Cross Site Scripting. - Server web ancora più pericolosi sono i bug XSS
quando riguardano i server web, applicazioni
molto diffuse e che solitamente non lasciano
presagire la vulnerabilità a questo tipo di
attacco. L'unico vantaggio in questo caso è la
possibilità di accorgersi tempestivamente
dell'attacco in corso, tramite l'analisi dei log
del server.
29Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.Attacchi
DoS Denial of Service
- I centri di monitoraggio e i grandi siti
dedicati alla sicurezza informatica stanno
segnalando da diverse settimane un incremento
preoccupante di attacchi di tipo DoS. - Il DoS, acronimo di Denial of Service, è un
tipo di minaccia che consiste nell'occupare le
risorse di un sistema online rendendolo
inutilizzabile al pubblico, per esempio azzerando
tutta la banda a disposizione. Inizialmente si
trattava di una forma di attacco realizzata come
curiosità tecnologica da parte di 'cracker'
convenzionali oppure come arma di dissenso verso
istituzioni o imprese commerciali. E' rimasto per
esempio famoso l'attacco DoS che rese
inaccessibile per diversi giorni il sito
ufficiale di SCO a seguito della sua causa sulle
proprietà intellettuali di Linux l'azienda fu
costretta a ricorrere a un altro dominio per
continuare a essere presente online.
30Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.Attacchi
DoS Denial of Service
- Per generare un attacco DoS è
necessario violare un grande numero di computer
di ignari utenti, prenderne il controllo e fare
in modo che questi sviluppino traffico verso il
sistema designato per lattacco finale. - In questi attacchi vengono impiegati
pacchetti ICMP ed altri protocolli per la
diagnosi delle reti. - Inviando infatti milioni di Ping da
altrettanti computer sparsi per il mondo si può
determinare lazzeramento totale di molti portali
e servizi della Rete.In questo tipo di attacco
il rapporto è però di tipo uno a uno. Un
pacchetto in uscita da un sistema pedina
comporta la ricezione di un solo pacchetto nel
sistema sotto attacco. Se per mettere in
ginocchio la vittima servono un milione di
pacchetti al secondo, sarà necessario inviare un
numero pari di pacchetti dai sistemi controllati.
Servono quindi parecchi computer per avere
successo. - Visto laccresciuto interesse per la
sicurezza informatica non è detto che sia
semplice trovare un numero così elevato di
computer client in cui sia possibile inoculare il
codice maligno che genera traffico. Anche
trovandoli, buona parte dei sistemi potrebbe
essere ripulita in breve tempo da antivirus,
nuove patch di sicurezza o da tecnici e
sistemisti specializzati.
31Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.IP Spoofing
Falsificazioni di indirizzo IP
- In una rete di computer, con il termine di IP
spoofing si indica una tecnica tramite la quale
si crea un pacchetto IP nel quale viene
falsificato lindirizzo IP del mittente. - Nell'header di un pacchetto IP si trova uno
specifico campo, il Source Address, il cui valore
indica lindirizzo IP del mittente. Semplicemente
modificando questo campo si può falsificare un
pacchetto IP in modo tale da apparire come se
fosse stato trasmesso da una macchina differente - Questa tecnica può essere utilizzata per superare
alcune tecniche difensive contro le intrusioni,
in primis quelle basate sull'autenticazione
dell'indirizzo IP. Infatti, è normale che in
intranet aziendali l'autenticazione ad alcuni
servizi avvenga sulla base dell'indirizzo IP,
senza l'utilizzo di altri sistemi (come utente e
password). Questo tipo di attacco ha tanto più
successo tanto più i rapporti di "fiducia" tra
due o più macchine sono forti. - Una delle difese che si possono attuare contro
questo tipo di attacco è l'utilizzo di packet
filtering, impostando opportune regole sulla base
delle quali viene deciso quali pacchetti
dall'esterno possono essere trasmessi all'interno
della rete aziendale e viceversa. Nello specifico
caso, per evitare un attacco basato sullo
spoofing basta impostare una serie di regole che
vieti il passaggio dall'esterno verso l'interno
della rete aziendale di pacchetti IP che abbiano
come indirizzo IP sorgente quello di una macchina
interna. Ovviamente si possono impostare anche
delle regole in modo tale da evitare attacchi di
spoofing dall'interno verso l'esterno. - L'IP spoofing risulta essere una tecnica inutile
per ottenere anonimato (come invece molti
credono), in quanto chi invia il pacchetto non
sarà, generalmente, in grado di proseguire in
modo coerente la comunicazione, dato che le
risposte saranno inviate all'indirizzo IP
modificato. - Si tratta di una tecnica utilizzata
principalmente durante attacchi di tipo DoS e
principalmente nella loro variante distribuita (o
DDoS), per verificare che gli algoritmi e le
policy di routing siano impostate correttamente.
32Vediamo in dettaglio alcune tecniche di attacco
in grado di compromettere la sicurezza del nostro
PC o della rete della nostra azienda.Port
Scanning
- Il Port Scanning è una tecnica utilizzata per
raccogliere informazioni su un computer connesso
ad una rete. - Letteralmente significa "scansione delle porte" e
consiste nell'inviare richieste di connessione al
computer bersaglio (soprattutto pacchetti TCP,
UDP e ICMP creati ad arte) elaborando le
risposte è possibile stabilire (anche con
precisione) quali servizi di rete siano attivi su
quel computer. Una porta si dice "in ascolto"
("listening") o "aperta" quando vi è un servizio
o programma che la usa. - Il risultato della scansione di una porta
rientra solitamente in una delle seguenti
categorie - aperta (accepted) l'host ha inviato una risposta
indicando che un servizio è in ascolto su quella
porta - chiusa (denied) l'host ha inviato una risposta
indicando che le connessioni alla porta saranno
rifiutata - bloccata (dropped) non c'è stata alcuna risposta
dall'host - filtrata (filtered) rileva la presenza di un
Firewall o di un ostacolo di rete in grado di
bloccare laccesso alla porta impedendo a Nmap di
individuarne lo stato. - Di per sé il port scanning non è pericoloso per i
sistemi informatici, e viene comunemente usato
dagli amministratori di sistema per effettuare
controlli e manutenzione. Rivela però
informazioni dettagliate che potrebbero essere
usate da un eventuale attaccante per preparare
facilmente una tecnica mirata finalizzata a
destabilizzare la sicurezza del sistema, pertanto
viene posta molta attenzione dagli amministratori
a come e quando vengono effettuati port scan
verso i computer della loro rete. Un buon
amministratore di sistema deve sapere che un
firewall ben configurato permette alle macchine
di svolgere tutti i loro compiti, ma rende
difficile (se non impossibile) la scansione delle
porte.
33Considerazioni finali e alcune misure di
sicurezza e prevenzione
- Le tecnologie informatiche sono ormai parte
integrante delle nostre attività quotidiane. La
Rete svolge funzioni sempre più importanti non
solo quale mezzo di scambio di semplici
informazioni statiche, ma soprattutto permette lo
svolgimento di attività estremamente
diversificate. I nostri computer, oltre ad essere
in alcuni casi un semplice strumento di
comunicazione e svago, diventano sempre più
importanti e funzionali per la fruizione di varie
tipologie di servizi. -
- Citiamo a titolo di esempio alcuni casi
reali destinati ad assumere sempre più importanza
nel prossimo, immediato futuro
34Considerazioni finali e alcune misure di
sicurezza e prevenzione
-
- Servizi Bancari e Servizi di Pubbliche
Amministrazioni - Possibilità di svolgere quasi tutte le
operazioni sul proprio conto corrente, inclusa la
compravendita di titoli e azioni, collegandosi
tramite Internet al portale del proprio istituto
di credito.
35Considerazioni finali e alcune misure di
sicurezza e prevenzione
- Portali di Commercio
- Elettronico
- La relativa semplicità di implementazione di
procedure automatizzate offerte da terze parti
(ad esempio il servizio PayPal) permette anche
alla piccola azienda di offrire al cliente un
servizio di pagamento sicuro ed affidabile
tramite carta di credito per l'acquisto di beni e
servizi vari.
36Considerazioni finali e alcune misure di
sicurezza e prevenzione
- Portali di Facoltà Universitarie
- In questo caso non c'è bisogno di
commento. L'uso del PC è assolutamente
indispensabile per le iscrizioni agli esami, per
accedere ai servizi di eLearning della propria
facoltà (laddove presenti e disponibili) e per
tenere sotto controllo il proprio piano di studi. -
- Musica, Cinema e Intrattenimento
-
- In Rete sono presenti moltissimi portali
che offrono il download di musica o più in
generale di contenuti multimediali mediante
pagamento tramite carta di credito. - Siti Aziendali e Servizi diversi
- Anche in questo caso i servizi presenti
sottoforma di applicativi web sono numerosissimi
e coprono anche aree e campi estremamente
specifici.
37Considerazioni finali e alcune misure di
sicurezza e prevenzione
- Paradossalmente l'utilizzo di questi strumenti,
estremamente semplici ed immediati soprattutto
per le nuove generazioni, allontanano sempre di
più l'utente finale dalle conoscenze specifiche
di ciò che avviene all'interno delle procedure
informatiche (fatta ovviamente eccezione per
programmatori, analisti, sistemisti, tecnici e
così via)
38Il grado di sicurezza maggiore per un sistema
informatico è direttamente proporzionale alla
preparazione, alla formazione personale e
competenza tecnica della persona che lo utilizza
39Brevi misure di sicurezza
- Per questo motivo, secondo l'opinione di chi
scrive, è essenziale formare le nuove generazioni
non tanto nel semplice utilizzo del proprio PC
(S.O. Windows, Pacchetto Office). Queste
conoscenze sono già in possesso di molti giovani,
pur non avendo nel proprio bagaglio culturale la
conoscenza di una terminologia tecnica persino
elementare. - Ai giovani serve la formazione etica e un minimo
di conoscenza tecnica che vada oltre la semplice
manualità. Non serve a nulla sapere cambiare una
scheda video, quando non si conosce nemmeno il
significato del termine "protocollo". La
formazione etica è ancora più importante, laddove
il mercato a volte propone software ludico troppe
volte di estrema violenza e brutalità e stampa
specializzata (nonché siti internet) che invitano
il giovane a diventare un potenziale cracker (o
meglio "Script Kid" visto che molti programmi
"malware" vengono distribuiti già confezionati e
pronti per l'uso). In sostanza, cerchiamo di non
utilizzare complesse tecnologie solamente per
mandare inutili messaggi di posta elettronica o
MMS. Si tratta di strumenti potenzialmente
pericolosi anche per i sistemi operativi a bordo
di telefoni cellulari e il fenomeno purtroppo
affligge anche fasce di età ben più elevate. Si
dovrebbero anche evitare messaggi di posta
elettronica assolutamente inutili, volgari e
magari contenenti elementi che SPESSO
INCONSAPEVOLEMENTE DA PARTE DEL MITTENTE
compromettono la sicurezza dei PC destinatari.
40Brevi misure di sicurezza
- Per un'azienda, anche se si tratta di un piccola
media impresa, la responsabilità dei sistemi
informativi deve essere affidata a personale
specializzato e di assoluta fiducia, in quando
allo stato attuale, nessun dipendente adibito ad
altre mansioni si dovrebbe occupare anche
dell'aspetto informatico e tecnologico della rete
e delle macchine presenti all'interno
dell'azienda, specialmente se i dati elaborati
rappresentano informazioni sensibili o di elevata
riservatezza. - Nel caso di utenti privati, purtroppo, mancano
spesso adeguate conoscenze in termini di
sicurezza e di conoscenze hardware/software.
Conoscenze che dovrebbero essere in possesso di
chiunque utilizzi il PC non limitatamente a scopi
ludici o di intrattenimento.
41Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire
- Non utilizzare MAI un personal computer per
accedere a servizi di portali bancari, di trading
on-line o comunque applicazioni web direttamente
connesse con l'amministrazione del proprio
portafoglio, laddove la medesima macchina sia
stata precedentemente (anche a distanza di tempo)
utilizzata per visionare siti con contenuti
erotici e/o pornografici oppure portali di
intrattenimento con download di salvaschermi,
suonerie per cellulari ed altre trivialità
analoghe, soprattutto se la navigazione è stata
eseguita utilizzando il browser Microsoft
Internet Explorer.
42Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire
- Installare un Antivirus, mantenere periodicamente
aggiornate le release e le definizioni ed
eseguire scansioni regolari dell'intero sistema. - Installare un programma anti-spyware con
periodici aggiornamenti ed eseguire la scansione
dell'intero sistema (quindi di TUTTE le
partizioni eventualmente presenti sui dischi)
almeno una volta ogni dieci giorni. - Installare un firewall e prendere dimestichezza
con i più comuni protocolli TCP/IP e sulle
"well-known ports" assegnate da IANA. Il firewall
deve anche potere eseguire la cattura dei
pacchetti generati dal traffico sviluppato
durante l'attività in rete e agire da sniffer sui
dati in transito, eseguendo analisi di
protocolli, porte, indirizzi IP e dump dei
pacchetti in entrata e in uscita. I report
generati da tali sonde devono essere memorizzati
in appositi files di Log ed esaminati
periodicamente.
43Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire
- Verificare periodicamente i files di Log delle
sonde alla ricerca di applicazioni che possano
avere effettuato un hijacking, ovvero che si
siano appoggiate ad altre applicazioni (un
esempio tipico sono le funzionalità FTP di IE)
cui è stata data l'autorizzazione ad accedere
alla rete in modo permanente, per propagare dati
sensibili eventualmente catturati da Keylogger o
Trojan. Questo è un punto di ESTREMA IMPORTANZA. - Il firewall dovrebbe anche prevedere la
possibilità di pingare indirizzi IP sospetti,
segnalare eventuali port scan diretti alla
propria macchina e soprattutto eseguire in
modalità GUI il TRACERT di un IP non identificato
con eventualmente l'interrogazione del WHOIS. - Evitare le reti Wireless, soprattutto negli
uffici. Non connettersi mai a Internet passando
attraverso un Access Point senza la presenza di
un Firewall e senza avere preventivamente
eseguito la configurazione per la cifratura dei
dati in transito.
44Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire
- Nel caso di piccole reti domestiche o comunque di
tipo SOHO è opportuno dedicare una macchina con a
bordo un server Proxy in grado di filtrare tutto
il traffico sviluppato dai client in maniera del
tutto analoga al firewall (che peraltro deve
essere installato anche su ciascun PC). E'
opportuno dedicare anche un po' di tempo alla
configurazione di un "web-washer, ossia un
applicativo software in grado di eseguire
un'approfondita analisi del codice HTML e
Javascript che compone la pagina richiesta, prima
che la medesima pagina venga visualizzata nel
browser, alla ricerca di collegamenti
ipertestuali sospetti o determinate parole chiave
stabilite dall'amministratore di sistema. - Nel caso di transazioni su portali di commercio
elettronico (specie se poco conosciuti o poco
attendibili) verificare SEMPRE l'utilizzo del
protocollo HTTPs in tutta la catena di immissione
dati e verificare SEMPRE la URL presente nella
barra degli indirizzi del browser. Utilizzare
preferibilmente le carte di credito prepagate (in
grado di generare numeri di carte di credito
virtuali, a scadenza e di importo limitato) e in
ogni caso non utilizzare MAI la propria carta di
credito su siti di commercio elettronico poco
attendibili o poco conosciuti.
45Brevi misure di sicurezzaElenchiamo, per
concludere, una sequenza di semplici ed
elementari regole da seguire
- Evitare di inviare messaggi di posta elettronica
con contenuti multimediali complessi, come applet
Java, animazioni shockwave e così via e
sottoporre a scansione automatica ogni allegato
in uscita. Spesso inviando questi inutili e
futili messaggi può accadere che il mittente
invia INCOSAPEVOLMENTE anche varie tipologie di
Script pericolosi o malware di vario tipo,
soprattutto se l'utente destinatario visualizza
il messaggio direttamente in formato HTML
all'interno di Outlook (Express). - Preferire sempre i formati di posta in PLAIN TEXT
piuttosto che messaggi composti in HTML, come se
fossero pagine web. Spesso infatti questi
messaggi possono contenere codice che scarica
dati da collegamenti contenuti all'interno del
messaggio stesso e attivati immediatamente una
volta che la pagina che compone il messaggio
viene visualizzata.