Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Un cyber attacco è qualunque tipo di azione offensiva che ha come obiettivo un computer,
sistemi informatici, server o infrastrutture di rete, usando varie metodologie per sottrarre,
modificare o distruggere dati o sistemi informatici.
Malware attack
A differenza degli attacchi che sono progettati per consentire all’attaccante di ottenere o
aumentare l’accesso, il denial-of-service non fornisce benefici diretti agli attaccanti. Per alcuni
di loro, è sufficiente avere la soddisfazione della negazione del servizio. Tuttavia, se la risorsa
attaccata appartiene a un concorrente commerciale, allora il beneficio per l’attaccante può
essere concreto. Un altro scopo di un attacco DoS può essere quello di portare un sistema
offline in modo che un altro tipo di attacco possa essere lanciato. Un esempio comune è il
session hijacking, che descriveremo più avanti.
Security level: RINA/CL/SENSITIVE
Ci sono diversi tipi di attacchi DoS e DDoS; i più comuni sono l’attacco TCP SYN flood,
l’attacco teardrop, l’attacco smurf, l’attacco ping-of-death e le botnet.
In questo attacco, un attaccante sfrutta l’uso dello spazio buffer durante un handshake di
inizializzazione della sessione del Transmission Control Protocol (TCP). Il dispositivo
dell’attaccante inonda la piccola coda in-process del sistema di destinazione con richieste di
connessione, ma non risponde quando il sistema di destinazione risponde a tali richieste.
Questo fa sì che il sistema di destinazione vada in time out mentre aspetta la risposta dal
dispositivo dell’attaccante, il che fa sì che il sistema si blocchi o diventi inutilizzabile quando la
coda di connessione si riempie.
Mettere i server dietro un firewall configurato per fermare i pacchetti SYN in entrata.
Aumentare la dimensione della coda di connessione e diminuire il timeout sulle
connessioni aperte.
Attacco Teardrop
Se non ci sono patch a disposizione per proteggersi da questo attacco DoS, disabilitate
SMBv2 e bloccate le porte 139 e 445.
Attacco Smurf
Questo attacco comporta l’utilizzo di IP spoofing e ICMP per saturare una rete bersaglio con il
traffico. Questo metodo di attacco utilizza richieste ICMP echo mirate a indirizzi IP broadcast.
Queste richieste ICMP provengono da un indirizzo “vittima” spoofato. Per esempio, se
l’indirizzo della vittima è 10.0.0.10, l’aggressore dovrebbe spoofare una richiesta ICMP echo
Security level: RINA/CL/SENSITIVE
Per proteggere i vostri dispositivi da questo attacco, è necessario disabilitare i broadcast diretti
agli IP ai router. Questo impedirà che la richiesta di broadcast ICMP echo arrivi ai dispositivi
di rete. Un’altra opzione sarebbe quella di configurare gli endpoint per impedire loro di
rispondere ai pacchetti ICMP da indirizzi broadcast.
Questo tipo di attacco utilizza pacchetti IP per pingare un sistema bersaglio con una
dimensione IP superiore al massimo di 65.535 byte. I pacchetti IP di questa dimensione non
sono consentiti, quindi l’attaccante frammenta il pacchetto IP. Una volta che il sistema di
destinazione riassembla il pacchetto, si possono verificare buffer overflow e altri crash.
Gli attacchi di ping of death possono essere bloccati utilizzando un firewall che controlla la
dimensione massima per i pacchetti IP frammentati.
Botnet
Le botnet sono i milioni di sistemi infettati con malware sotto il controllo degli hacker,
utilizzate per effettuare attacchi DDoS. Questi bot o sistemi “zombie” vengono utilizzati per
effettuare attacchi contro i sistemi di destinazione, spesso riempiendo la larghezza di banda e le
capacità di elaborazione del sistema di destinazione. Questi attacchi DDoS sono difficili da
tracciare perché le botnet si trovano in diverse località geografiche.
Filtri RFC3704, che negherà il traffico da indirizzi spoofed e aiuterà a garantire che il
traffico sia tracciabile fino alla sua corretta rete di origine. Per esempio, il filtraggio
RFC3704 eliminerà i pacchetti provenienti da indirizzi fasulli.
Black hole filtering, che blocca il traffico indesiderato prima che entri in una rete
protetta. Quando viene rilevato un attacco DDoS, l’host BGP (Border Gateway
Protocol) dovrebbe inviare aggiornamenti di routing ai router degli ISP in modo che
Security level: RINA/CL/SENSITIVE
indirizzino tutto il traffico diretto ai server vittime verso un’interfaccia null0 all’hop
successivo.
In questo tipo di attacco MitM, un attaccante dirotta una sessione tra un client fidato e un
server di rete. Il computer attaccante sostituisce il suo indirizzo IP con quello del client fidato,
mentre il server continua la sessione, credendo di comunicare con il client. Ad esempio,
l’attacco potrebbe svolgersi in questo modo:
IP Spoofing
L’IP spoofing è usato da un attaccante per convincere un sistema che sta comunicando con
un’entità nota e fidata e fornisce quindi all’attaccante l’accesso al sistema. L’attaccante invia
un pacchetto con l’indirizzo sorgente IP di un host noto e fidato invece del proprio indirizzo
sorgente IP ad un host di destinazione. L’host di destinazione potrebbe accettare il pacchetto e
agire di conseguenza, concedendo l’accesso.
Replay
Un attacco replay si verifica quando un attaccante intercetta e salva vecchi messaggi e poi
cerca di inviarli in seguito, impersonando uno dei partecipanti. Questo tipo può essere
Security level: RINA/CL/SENSITIVE
facilmente contrastato con timestamp di sessione o un nonce (un numero casuale o una stringa
che cambia nel tempo).
Attualmente, non esiste una singola tecnologia o configurazione per prevenire tutti gli attacchi
MitM. In generale, la crittografia e i certificati digitali forniscono un’efficace salvaguardia
contro gli attacchi MitM, assicurando sia la riservatezza che l’integrità delle comunicazioni.
Ma un attacco man-in-the-middle può anche essere iniettato nel mezzo delle comunicazioni in
modo tale che nemmeno la crittografia può aiutare – per esempio, l’attaccante “A” intercetta la
chiave pubblica della persona “P” e la sostituisce con la propria chiave pubblica. Quindi,
chiunque voglia inviare un messaggio criptato a P usando la chiave pubblica di P sta
inconsapevolmente usando la chiave pubblica di A. Pertanto, A può leggere il messaggio
destinato a P e poi inviare il messaggio a P, criptato con la vera chiave pubblica di P, e P non
noterà mai che il messaggio è stato compromesso. Inoltre, A potrebbe anche modificare il
messaggio prima di reinviarlo a P. Come potete vedere, P sta usando la crittografia e pensa che
le sue informazioni siano protette ma non lo sono, a causa dell’attacco MitM.
Quindi, come si può essere sicuri che la chiave pubblica di P appartenga a P e non ad A? Le
autorità di certificazione e le funzioni hash sono state create per risolvere questo problema.
Quando la persona 2 (P2) vuole inviare un messaggio a P, e P vuole essere sicuro che A non
leggerà o modificherà il messaggio e che il messaggio provenga effettivamente da P2, si deve
usare il seguente metodo:
Lo spear phishing è un tipo di attività di phishing molto mirata. Gli aggressori si prendono del
tempo per condurre ricerche sugli obiettivi e creare messaggi che siano personali e rilevanti.
Per questo motivo, lo spear phishing può essere molto difficile da identificare ed è ancora più
difficile proteggersi. Uno dei modi più semplici in cui un hacker può condurre un attacco di
spear phishing è l’email spoofing, che avviene quando l’informazione nella sezione “Da”
dell’email è falsificata, facendola sembrare come se provenisse da qualcuno che conosci, come
il tuo management o un’azienda partner. Un’altra tecnica che i truffatori usano per aggiungere
credibilità alla loro storia è la clonazione di siti web – copiano siti web legittimi per ingannarti e
farti inserire informazioni di identificazione personale (PII) o credenziali di accesso.
Per ridurre il rischio di essere vittima di phishing, puoi usare queste tecniche:
Pensiero critico – Non valutare un’email in maniera affrettata solo perché sei occupato
o stressato o hai 150 altri messaggi non letti nella tua casella di posta. Fermati un
minuto e analizza l’email.
Passare sopra i link – Muovi il tuo mouse sopra il link, ma non cliccarlo! Lascia solo
che il cursore del tuo mouse passi sopra il link e vedi dove ti porterebbe. Applica il
pensiero critico per decifrare l’URL.
Analizzare le intestazioni delle email – Le intestazioni delle email definiscono come
un’email è arrivata al tuo indirizzo. I parametri “Reply-to” e “Return-Path” dovrebbero
portare allo stesso dominio indicato nell’email.
Sandboxing – È possibile testare il contenuto delle e-mail in un ambiente sandbox,
registrando l’attività di apertura dell’allegato o cliccando sui link all’interno dell’e-mail.
4. Attacco drive-by
Security level: RINA/CL/SENSITIVE
Gli attacchi drive-by download sono un metodo comune di diffusione del malware. Gli hacker
cercano siti web insicuri e inseriscono uno script dannoso nel codice HTML o PHP di una
delle pagine. Questo script potrebbe installare malware direttamente sul computer di qualcuno
che visita il sito, o potrebbe reindirizzare la vittima a un sito controllato dagli hacker. I
download drive-by possono avvenire quando si visita un sito web o si visualizza un messaggio
e-mail o una finestra pop-up. A differenza di molti altri tipi di attacchi alla sicurezza
informatica, un drive-by non si basa sul fatto che l’utente faccia qualcosa per attivare
attivamente l’attacco – non è necessario cliccare su un pulsante di download o aprire un
allegato e-mail dannoso per essere infettati. Un download drive-by può sfruttare un’app, un
sistema operativo o un browser web che contiene falle di sicurezza dovute ad aggiornamenti
non riusciti o alla mancanza di aggiornamenti.
Per proteggersi dagli attacchi drive-by, è necessario mantenere aggiornati i browser e i sistemi
operativi ed evitare i siti web che potrebbero contenere codice dannoso. Attieniti ai siti che usi
normalmente – ma tieni presente che anche questi siti possono essere violati. Non tenere troppi
programmi e app inutili sul tuo dispositivo. Più plug-in hai, più vulnerabilità ci sono che
possono essere sfruttate da attacchi drive-by.
Per proteggersi dagli attacchi con dizionario o a forza bruta, è necessario implementare una
politica di blocco dell’account che bloccherà l’account dopo alcuni tentativi di password non
validi.
Per esempio, un modulo web su un sito web potrebbe richiedere il nome dell’account di un
utente e poi inviarlo al database per estrarre le informazioni dell’account associato usando
l’SQL dinamico come questo:
Quando questo attacco funziona, perché viene indovinato l’ID dell’account,, lascia un buco
per gli attaccanti. Per esempio, se qualcuno decidesse di fornire un ID account “‘ or ‘1’ = ‘1’”,
questo risulterebbe in una stringa:
Poiché ‘1‘ = ‘1‘ è sempre TRUE, il database restituirà i dati per tutti gli utenti invece di un
solo utente.
La vulnerabilità a questo tipo di attacco di sicurezza informatica dipende dal fatto che SQL
non verifica chi possa avere i permessi o meno. Pertanto, le iniezioni SQL funzionano
soprattutto se un sito web utilizza SQL dinamico. Inoltre, l’iniezione SQL è molto comune con
Security level: RINA/CL/SENSITIVE
le applicazioni PHP e ASP a causa della prevalenza di vecchi sistemi. Le applicazioni J2EE e
ASP.NET hanno meno probabilità di ricevere injection SQL sfruttabili a causa della natura
delle interfacce di programmazione disponibili.
Anche se gli XSS possono essere inseriti all’interno di VBScript, ActiveX e Flash, il più
ampiamente abusato è JavaScript – principalmente perché JavaScript è ampiamente
supportato sul web.
Per difendersi dagli attacchi XSS, gli sviluppatori possono sanitizzare i dati inseriti dagli utenti
in una richiesta HTTP prima di restituirli. Assicuratevi che tutti i dati siano convalidati o filtrati
prima di restituire qualcosa all’utente, come i valori dei parametri della query durante le
ricerche. Convertire i caratteri speciali come ?, &, /, <, > e gli spazi nei loro rispettivi
Security level: RINA/CL/SENSITIVE
equivalenti codificati in HTML. Date agli utenti la possibilità di disabilitare gli script lato
client.
Rilevare gli attacchi di intercettazione passiva è spesso più importante che individuare quelli
attivi, poiché gli attacchi attivi richiedono che l’attaccante acquisisca la conoscenza degli
endpoint amici conducendo prima l’intercettazione passiva.
9. Attacco “Birthday”
Gli attacchi di tipo “birthday” sono fatti contro gli algoritmi di hash che sono usati per
verificare l’integrità di un messaggio, un software o una firma digitale. Un messaggio
processato da una funzione di hash produce un message digest (MD) di lunghezza fissa,
indipendente dalla lunghezza del messaggio di input; questo MD caratterizza in modo univoco
il messaggio. L’attacco di tipo “birthday” si riferisce alla probabilità di trovare due messaggi
casuali che generano lo stesso MD quando vengono elaborati da una funzione hash. Se un
attaccante calcola per il suo messaggio lo stesso MD dell’utente, può tranquillamente sostituire
il messaggio dell’utente con il suo, e il ricevitore non sarà in grado di rilevare la sostituzione
anche se confronta gli MD.
Security level: RINA/CL/SENSITIVE
Virus macro – Questi virus infettano applicazioni come Microsoft Word o Excel. I
virus macro si attaccano alla sequenza di inizializzazione di un’applicazione. Quando
l’applicazione viene aperta, il virus esegue le istruzioni prima di trasferire il controllo
all’applicazione. Il virus si replica e si attacca ad altro codice nel sistema informatico.
Infettatori di file – I virus infettatori di file di solito si attaccano al codice eseguibile,
come i file .exe. Il virus viene installato quando il codice viene caricato. Un’altra
versione di un file infector si associa a un file creando un file virus con lo stesso nome,
ma con estensione .exe. Pertanto, quando il file viene aperto, il codice del virus viene
eseguito.
Infettatori di sistema o di boot-record – Un virus di boot-record si attacca al master
boot record sui dischi rigidi. Quando il sistema viene avviato, guarda il settore di avvio
e carica il virus in memoria, dove può propagarsi ad altri dischi e computer.
Virus polimorfici – Questi virus si nascondono attraverso vari cicli di crittografia e
decrittografia. Il virus criptato e un motore di mutazione associato sono inizialmente
decrittati da un programma di decrittazione. Il virus procede ad infettare un’area di
codice. Il motore di mutazione sviluppa quindi una nuova routine di decrittazione e il
virus cripta il motore di mutazione e una copia del virus con un algoritmo
corrispondente alla nuova routine di decrittazione. Il pacchetto criptato del motore di
mutazione e del virus è attaccato al nuovo codice, e il processo si ripete. Tali virus sono
difficili da rilevare, ma hanno un alto livello di entropia a causa delle numerose
modifiche del loro codice sorgente. I software antivirus possono utilizzare questa
caratteristica per rilevarli.
Virus furtivi – I virus furtivi prendono il controllo delle funzioni del sistema per
nascondersi. Lo fanno compromettendo il software di rilevamento del malware in
modo che il software riporti un’area infetta come non infetta. Questi virus generano un
aumento della dimensione di un file quando viene infettato, oltre a modificare la data e
l’ora dell’ultima modifica del file.
Trojan – Un Trojan o un cavallo di Troia è un programma che si nasconde in un
programma utile e di solito ha una funzione dannosa. Una grande differenza tra virus e
trojan è che i trojan non si autoreplicano. Oltre a lanciare attacchi a un sistema, un trojan
può apreire una backdoor che può essere sfruttata dagli attaccanti. Per esempio, un
Trojan può essere programmato per aprire una porta dal numero elevato in modo che
l’hacker possa usarla per ascoltare e poi eseguire un attacco.
Security level: RINA/CL/SENSITIVE
Bombe logiche – Una bomba logica è un tipo di software maligno che viene aggiunto
a un’applicazione e viene attivato da un evento specifico, come una condizione logica o
una data e ora specifiche.
Worm – I worm differiscono dai virus in quanto non si attaccano a un file ospite, ma
sono programmi autonomi che si propagano attraverso reti e computer. I worm sono
comunemente diffusi attraverso allegati di posta elettronica; l’apertura dell’allegato
attiva il programma worm. Un tipico exploit di un worm comporta l’invio di una copia
di se stesso a ogni contatto dell’indirizzo e-mail di un computer infetto. Oltre a condurre
attività dannose, un worm che si diffonde attraverso internet e sovraccarica i server di
posta elettronica può provocare attacchi denial-of-service verso i nodi della rete.
Dropper – Un dropper è un programma usato per installare virus sui computer. In
molti casi, il dropper non è infettato da codice dannoso e, quindi, potrebbe non essere
rilevato dal software di scansione dei virus. Un dropper può anche connettersi a Internet
e scaricare gli aggiornamenti del software antivirus che risiede su un sistema
compromesso.
Ransomware – Il ransomware è un tipo di malware che blocca l’accesso ai dati della
vittima e minaccia di pubblicarli o cancellarli se non viene pagato un riscatto. Mentre
alcuni semplici ransomware possono bloccare il sistema in un modo che non è difficile
da recuperare per una persona esperta, le versioni più avanzate e più diffuse di questo
malware utilizzano una tecnica chiamata estorsione criptovirale, che cripta i file della
vittima in un modo da renderli quasi impossibile da recuperare senza la chiave di
decrittazione.
Adware – L’adware è un’applicazione software utilizzata dalle aziende per scopi di
marketing; vengono visualizzatii banner pubblicitari mentre qualunque programma è in
esecuzione. L’adware può essere scaricato automaticamente sul tuo sistema durante la
navigazione di qualsiasi sito web e può essere visualizzato attraverso finestre pop-up o
attraverso una barra che appare automaticamente sullo schermo del computer.
Spyware – Lo spyware è un tipo di programma che viene installato per raccogliere
informazioni sugli utenti, sui loro computer o sulle loro abitudini di navigazione. Tiene
traccia di tutto ciò che fai a tua insaputa e invia i dati a un utente remoto. Può anche
scaricare e installare altri programmi maligni da internet. Lo spyware funziona come
l’adware, ma di solito è un programma separato che viene installato inconsapevolmente
quando si installa un’altra applicazione freeware.
Conclusione
Per riuscire a difenderci, dobbiamo conoscere bene gli attacchi. In questo articolo abbiamo
esaminato i 10 attacchi più comuni di sicurezza informatica che gli hacker utilizzano per
bloccare e compromettere i sistemi informatici. Come puoi vedere, gli aggressori hanno molte
opzioni, come gli attacchi DDoS, l’infezione da malware, l’intercettazione man-in-the-middle
Security level: RINA/CL/SENSITIVE
e indovinare le password con la modalità brute-force, per cercare di ottenere un accesso non
autorizzato alle infrastrutture critiche e ai dati sensibili.
Le misure per mitigare queste minacce variano, ma le basi della sicurezza rimangono le stesse:
mantenete aggiornati i vostri sistemi e utilizzate sistemi di protezione endpoint di nuova
generazione, formate i vostri dipendenti, configurate il vostro firewall per mettere in whitelist
solo le porte e gli host specifici di cui avete bisogno, mantenete forti le vostre password, usate
un modello di minimo privilegio nel vostro ambiente IT, fate backup regolari, prevedete un
sistema di disaster recovery e controllate continuamente i vostri sistemi IT alla ricerca di
eventuali attività sospette.