Sicurezza Informatica

Attacchi e difese

2006 Borgogno Piergiorgio

 Attacchi e difese

La copia letterale e la distribuzione

di questo articolo nella sua
integrità sono permesse con
qualsiasi mezzo, a condizione che
questa nota sia riprodotta
Sicurezza informatica

Salvaguardia dei sistemi informatici da potenziali rischi

e/o violazioni dei dati.

Gli aspetti di protezione del dato sono:

la confidenzialità
l'integrità
la disponibilità.

Livelli di protezione:
- livello fisico e materiale (logistica)
- livello logico (autenticazione e l'autorizzazione, audit)

Spesso l'obiettivo dell'attaccante non è rappresentato dai

sistemi informatici in sé, quanto piuttosto dai dati in essi
contenuti
Sicurezza informatica

Sicurezza passiva:

si intendono le tecniche e gli strumenti di tipo difensivo, ossia

quel complesso di soluzioni il cui obiettivo è quello di impedire
che utenti non autorizzati possano accedere a risorse, sistemi,
impianti, informazioni e dati di natura riservata

Sicurezza attiva:

le tecniche e gli strumenti mediante i quali le informazioni ed i

dati di natura riservata sono resi intrinsecamente sicuri,
proteggendo gli stessi sia dalla possibilità che un utente non
autorizzato possa accedervi (confidenzialità), sia dalla
possibilità che un utente non autorizzato possa modificarli
(integrità)
 Attacchi e difese

Tecniche di attacco
* Exploit
* Buffer overflow Tecniche di difesa
* Shellcode * Hacking
* Cracking * Crittografia
* Backdoor * Sistema di autenticazione
* Port scanning * Firma digitale
* Sniffing * Firewall
* Spoofing * Intrusion Detection System (IDS)
* Virus informatici * Network Intrusion Detection System (NIDS)
* Man in the Middle * Honeypot
* DOS * Steganografia
* DDOS
* Social engineering (phishing)
Attacchi: exploit

Un exploit è un termine usato in informatica

per identificare un metodo che, sfruttando
un bug o una vulnerabilità, porta
all'acquisizione di privilegi o al denial of
service di un computer.

Lo scopo di molti exploit è quelli di

prendere i privilegi di root su un sistema

Normalmente un exploit può sfruttare solo

una specifica falla e quando è pubblicato
questa falla è riparata e l'exploit diventa
obsoleto per le nuove versioni del
programma.
 Attacchi: exploit
Normalmente l'exploit contatta l'applicazione vulnerabile.

Exploit locale
richiede un preventivo accesso al sistema e solitamente
fa aumentare i privilegi dell'utente

Exploit remoto
è compiuto attraverso la rete e sfrutta la vulnerabilità
senza precedenti accessi al sistema

Generalmente gli exploit DEVONO essere dichiarati alla

casa madre, altrimenti sono detti exploit sono chiamati
zero day exploit,utilizzati spesso dagli script kiddies
 Il “BUG”
BUG significa insetto,
ed è proprio quello che trovarono dentro i “primi computer”
Attacchi: buffer overflow
Può anche fare parte della famiglia degli exploit,
dove probabilmente è il più diffuso e più pericoloso.

Consiste nel fornire al programma più dati di quanto

esso si aspetti di ricevere.

Questo tipo di debolezza dei programmi è noto da

molto tempo, ma solo di recente la sua conoscenza
si è diffusa.

Lo stack overflow, come il “buffer overflow*, consiste nella

sovrascrittura dell'area dati del programma, ma questa volta non è
causata da un input di dati troppo lungo ma dall'attività del
programma stesso, ad esempio chiamando con dei parametri
particolari una funzione ricorsiva del programma
 Attacchi: shellcode

Uno shellcode è un programma in linguaggio

assembly che tradizionalmente esegue una shell,
come la shell Unix '/bin/sh' oppure la shell
command.com sui sistemi operativi DOS e Microsoft
Windows

Sfruttando un exploit, può consentire di acquisire

l'accesso alla riga di comando con privilegi elevati di
un computer.

L'esecuzione dello shellcode può essere ottenuta

sovrascrivendo l'indirizzo di ritorno dello stack con
l'indirizzo dello shellcode. In questo modo quando la
subroutine prova a ritornare al chiamante, ritorna
invece al codice dello shellcode che apre una riga di
comando.
Attacchi: cracking

Con cracking si intende la modifica di un software

per rimuovere la protezione dalla copia, oppure per
ottenere accesso ad un'area altrimenti riservata.

La distribuzione di software così sprotetto (warez) è

generalmente un'azione illegale se non criminale,
per violazione di un copyright.

Il crack viene spesso ottenuto tramite il reverse

engineering, tecnica che permette di capire la logica
del software analizzando il suo funzionamento e le
risposte a determinati input.
 Attacchi: backdoor
Le backdoor in informatica sono paragonabili a porte di servizio che
consentono di superare in parte o in toto le procedure di sicurezza
attivate in un sistema informatico.

Generalmente sono intenzionalmente create dai gestori del sistema

informatico per permettere una più agevole opera di manutenzione
dell'infrastruttura informatica, più spesso sono usati da malintenzionati
per manomettere il sistema

Un esempio celebre è il programma Back orifice, che attiva una

backdoor sul sistema in cui viene installato, dando la possibilità a
chiunque ne conosca l'indirizzo di controllare la macchina.

Oltre ad essere molto pericolosi per l'integrità delle informazioni

presenti sul sistema, le backdoor installate dai virus possono essere
utilizzate per condurre degli attacchi di tipo DDoS.
Attacchi : Port scanning
Il Port Scanning è una tecnica informatica utlizzata per raccogliere
informazioni su un computer connesso ad una rete.

Letteralmente significa "scansione delle porte" e consiste nell'inviare

rischieste di connessione al computer bersaglio (soprattutto pacchetti
TCP, UDP e ICMP creati ad arte): è dunque possbibile stabilire quali
servizi di rete siano attivi su quel computer.

Una porta si dice "in ascolto" ("listening") o "aperta" quando vi è un

servizio o programma che la usa.

Non è pericoloso per i sistemi informatici, e viene comunemente usato

dagli amministratori di sistema per effettuare controlli e manutenzione.
 Attacchi : Sniffing
Si definisce sniffing l'attività di intercettazione passiva dei dati
che transitano in una rete telematica.

può essere svolta sia per scopi legittimi (ad esempio

l'individuazione di problemi di comunicazione o di tentativi di
intrusione) sia per scopi illeciti (intercettazione fraudolenta di
password o altre informazioni sensibili).

Sniffing in reti ethernet non-switched : sniffing totale

Sniffing in reti ethernet switched : solo i pacchetti destinati al

proprio indirizzo ed i pacchetti di broadcast --> MAC flooding
con conseguenze di fail open dello switch.

Sniffing in reti geografiche : solo attraverso Man in the middle

DIFESE:
Cifratura del traffico
Routing and firewalling
Attacchi: Man in the middle
E' un attacco nel quale l'attaccante è in grado di leggere, inserire o
modificare a piacere, messaggi tra due parti senza che nessuna delle
due sia in grado di sapere se il collegamento sia stato compromesso.
L'attaccante deve essere in grado di osservare e intercettare il
transito dei messaggi tra le due vittime.

La possibilità di un attacco MITM rimane un serio problema di

sicurezza per sistemi di cifratura a chiave pubblica.
 Attacchi : Spoofing
Lo spoofing è la tecnica con la quale l'hacker invia pacchetti
modificando l'ip sorgente facendo credere, quindi, all'host di
destinazione e ai vari hop che il pacchetto attraversa (firewall, router,
etc...) di provenire da un'altra sorgente.
 Attacchi : DoS
Denial of service, letteralmente negazione del servizio. In questo
tipo di attacco si cerca di portare il funzionamento di un sistema
informatico che fornisce un servizio, ad esempio un sito web, al
limite delle prestazioni, lavorando su uno dei parametri d'ingresso,
fino a renderlo non più in grado di erogare il servizio.

Sono Attacchi portati da un singolo host (facilmente rintracciabili

-Syn-Flood (storico)
letteralmente "inondazione di pacchetti di tipo Syn", ovvero
pacchetti che aprono conessioni

-Smurf
viene mandato uno o più
pacchetti di broadcast
verso una rete esterna
composta da un numero
maggiore possibile di host e
con l'indirizzo mittente
che punta al bersaglio.
 Attacchi : DDoS
Distributed DoS

In questi attacchi il bersaglio viene attaccato contemporaneamente da

più fonti, rendendo difficile rintracciare l'attaccante originario.

-Costruire una botnet:

Gli attaccanti, per evitare di essere individuati e per avere a
disposizione un numero sufficiente di computer per l'attacco
inizialmente, infettano un numero elevato di computer con dei virus o
worm che lasciano aperte delle backdoor a loro riservate
i nodi della bot net vengono definiti agenti, o Zombie

Quando il numero di zombie è

ritenuto adeguato, o quando
scatta una specifica data, i
computer infetti si attivano e
sommergono il server bersaglio
di false richieste
 Attacchi : DDoS
Reflected DDoS

In questa particolare tipologia di attacco, il computer attaccante

produce delle richieste di connessione verso server con
connessioni di rete molto veloci utilizzando come indirizzo di
provenienza non il proprio bensí quello del bersaglio dell'attacco.

Quest'ultimo tipo di attacco è particolarmente subdolo perché, a

causa della natura delle risposte, è difficilmente schermabile
dall'utente comune: infatti se si filtrassero le risposte dei server
verrebbe compromessa la funzionalitá stessa della connessione
di rete impedendo, di fatto, la ricezione anche delle informazioni
desiderate.

Le risposte dei server, sollecitate dall'attaccante, sono infatti

indistinguibili da quelle generate da una richiesta legittima della
vittima.
DDos ATTACK
 Attacchi : Phishing

Dall' inglese “Spillare”, ovvero ottenere l'accesso a dati

personali in modo illecito.
SOCIAL ENGINEERING
Non è una tecnologia ma un attacco psicologico

- l'utente malintenzionato spedisce al malcapitato

utente un messaggio che simula, nella grafica e nel
contenuto, quello di una istituzione nota al destinatario.

- l'email contiene quasi sempre avvisi di particolari

situazioni o problemi verificatesi con il proprio conto
corrente/account

-l link fornito, tuttavia, non porta in realtà al sito web

ufficiale, ma ad una copia fittizia apparentemente
simile al sito ufficiale
Difese : Hacking

L' uso quotidiano e

mediatico della parola
spesso ci è presentato
come sinonimo di “cosa
malvagia”, a carattere
illegale e terroristico.
 Difese : Hacking
glider
Il termine HACKING, si riferisce più
genericamente ad ogni situazione in
cui si faccia uso di creatività e
immaginazione nella ricerca della
conoscenza: ad esempio, Leonardo da
Vinci può essere considerato
un'hacker del XV secolo.

Più banalmente spesso ci si riferisce ad un Hack come ad

uno scherzo geniale
 Difese : Hacking
Chi fa hacking viene chiamato Hacker; è più un'approvazione che
deriva dall'esterno piuttosto che un nome di cui ci si fregia
autonomamente.
Per l'hacker è fondamentale conoscere accuratamente il sistema
su cui interviene,

L'hacker si dedica all'analisi, raggiungendo la conoscenza

attraverso la sperimentazione sul campo: l'hacking è visto come
uno strumento per ottenere informazioni e conoscenze che,
seppur protette, si presumono appartenere alla comunità.

La pratica di accedere illegalmente a sistemi altrui (per

qualsivoglia motivo) usa mezzi e tecniche proprie dell'hacking, ma
se ne differenzia profondamente: mentre l'hacker cerca la
conoscenza, il cracker mira alla devastazione e al furto.

Chi pratica l'intrusione

informatica semplicemente
copiando le tecniche trovate e
sviluppate da altre persone
sfruttando exploit già pronti,
viene chiamato lamer.
http://www.stallman.org/
Kevin Mitnick
Difese : Crittografia
La parola crittografia deriva dalla parola greca kryptós che
significa nascosto e dalla parola greca gráphein che significa
scrivere.

La crittografia è la controparte della crittanalisi ed assieme

formano la crittologia.
 Difese : Crittografia
La prima traccia storica di uso della
crittografia risale a Caio Giulio Cesare:
inventò il Cifrario di Cesare.
-algoritmo a scorrimento
-algoritmo monoalfabetico
-algoritmo polialfabetico (1586: cifrario di
Vigénère)

VVIUZVRFUVDRWAVUM Chiave : Verme

La crittografia tradizionale moderna è

ideata da Gilbert Vernam nel 1918

-crittografia asimmetrica o chiave

pubblica (RSA, PGP)
-crittografia simmetrica (DES, AES)
-crittografia quantistica
 Difese : Autenticazione
Non esistono computer, software o utenti in grado di
confermare, con totale certezza, l'identità di altri computer,
software e utenti.

Essendo la soluzione "totalmente

sicura" irraggiungibile, si può soltanto
cercare di sottoporre l'autenticando a
diverse prove, ad esempio delle
domande alle quali bisogna
rispondere correttamente.

I metodi tramite i quali un essere umano può autenticarsi sono divisi in

tre classi, in base a ciò che egli:

* è (es. impronte digitali, impronta vocale, modello retinico, sequenza

del DNA, calligrafia o altri identificatori biometrici)
* ha (es. tesserino identificativo)
* conosce (es. password, parola chiave o numero di identificazione
personale (PIN))
Difese :Firma digitale
La firma digitale, o firma elettronica qualificata, basata sulla
tecnologia della crittografia a chiavi asimmetriche, ha lo stesso
scopo della firma convenzionale.

In Italia esiste il decreto legislativo 7 marzo 2005, n. 82, l'articolo 1,

distingue 3 concetti di "firma”:

a) Per "firma elettronica" la legge intende qualunque sistema di

autenticazione del documento informatico.

b) La "firma elettronica qualificata" è definita come la firma

elettronica basata su una procedura che permetta di identificare in
modo univoco il titolare, attraverso mezzi di cui il firmatario deve
detenere il controllo esclusivo, e la cui titolarità è certificata da un
soggetto terzo.

c) La "firma digitale", è considerata dalla legge come una

particolare specie di "firma elettronica qualificata", basata sulla
tecnologia della crittografia a chiavi asimmetriche.
 Difese :Firewall
Software o apparato di rete hardware che filtra tutti
i pacchetti entranti ed uscenti, da e verso una rete
o un computer, applicando regole che
contribuiscono alla sicurezza della stessa.

Crea un filtro sulle connessioni entranti ed uscenti,

innalza il livello di sicurezza della rete.

Il firewall agisce sui pacchetti in transito da e per la

zona interna potendo eseguire su di essi
operazioni di:

* controllo
* modifica
* monitoraggio
 Difese :Firewall
Tipologie di firewall, in ordine crescente di complessità:
Packet filter: valuta ciascun
header del pacchetto, decidendo
quali far passare e quali no sulla
base delle regole configurate.

Stateful inspection: ricostruisce lo

stato delle connessioni TCP, o i
protocolli che aprono più
connessioni. Questo permette ad
esempio di riconoscere pacchetti
TCP malevoli che non fanno parte di
alcuna connessione

Application Layer Gateway:

effettua controlli fino al livello 7 della
pila ISO/OSI, a questa generazione
di firewall appartengono i proxy.
Spesso un proxy è assimilato - o
usato come - un firewall.
 Difese :Honeypot

E' un sistema o componente hardware o software usato come

"trappola" o "esca" : letteralmente: "barattolo del miele".

Il valore primario di un honeypot è l'informazione che esso dà sulla

natura e la frequenza di eventuali attacchi subiti dalla rete. Gli
honeypot non contengono informazioni reali e quindi non
dovrebbero essere coinvolti da nessuna attività; rilevazioni in senso
opposto possono rivelare intrusioni non autorizzate o malevoli in
corso.
 Difese :Steganografia

l termine steganografia è composto dalle parole greche

stegano (nascosto) e grafia (scrittura) e individua un'antica
tecnica risalente all'antica Grecia, teorizzata dall'abate
Tritemio attorno al 1500

Nel campo dell'informatica, due utenti possono utilizzare la

steganografia per inviarsi messaggi nascosti all'interno di file di
"copertura", come immagini o altri file multimediali: in questo tipo di
file l'alterazione di pochi bit non altera in modo evidente il
contenuto.
Cerca di proteggere i dati semplicemente nascondendoli e non
proteggendoli "davvero", ma se usata congiuntamente alla
crittografia, puo' diventare un ottima tecnica.

-Digital Watermarking
-Messaggi subliminali
 Difese : IDS
L'Intrusion Detection System è un dispositivo
software/hardware utilizzato per identificare accessi non
autorizzati ai computer o alle reti locali.

Un IDS è composto da quattro componenti.

Uno o più sensori: per rilevare dati

Una console per monitorare i dati

Un motore che analizza i

dati prelevati e si appoggia
ad un database ove sono
memorizzate una serie di
regole utilizzate per
identificare violazioni della
sicurezza
 Difese : NIDS

Network Intrusion Detection System, sono degli strumenti

informatici, software o hardware, dediti ad analizzare il traffico di
uno o piu segmenti di una LAN al fine di individuare anomalie nei
flussi o probabili intrusioni informatiche.

Funzionamento:

Pattern Matching: l'abilità del NIDS di confrontare i flussi a delle

signatures

Anomaly Detection: il riconoscimento di flussi sospetti grazie al

meccanismo di funzioni e algoritmi matematici che si rifanno alle
RFC e ai loro standard
Attacchi e difese
Rights
Autore Originale: Borgogno Piergiorgio

Releasing: Borgogno Piergiorgio Dicembre 2005

Releasing: Borgogno Piergiorgio Gennaio 2008

Fonti: Wikipedia

Formato: Open Document Presentation

Download:
http://www.archimedix.eu/docs/attacchi.odp