Le modalità di attuazione di minacce intenzionali che sono state
Transcript
Le modalità di attuazione di minacce intenzionali che sono state
RUBRICA ON LINE “SICUREZZA INFORMATICA E TUTELA DELLA PRIVACY” Le modalità di attuazione di minacce intenzionali che sono state maggiormente utilizzate negli anni Ottanta e Novanta Antonio GUZZO Responsabile CED – Sistemi Informativi del Comune di Praia a Mare Le modalità di attuazione di minacce intenzionali sono cosi sinteticamente descritte: 1) Individuazione di attacchi non contrastati da alcuna contromisura ICT (ad esempio basati sull’inferenza, cioè non mi posso limitare a considerare ciò che può essere fatto da un determinato soggetto quando accede direttamente a determinate informazioni ma mi devo preoccupare anche del fatto che potrebbe accederci in modo indiretto sfruttando la conoscenza di altre informazioni); 2) Sfruttamento di debolezze insite nei principi teorici di funzionamento delle contromisure ICT (ad esempio meccanismi di autenticazione con password di lunghezza ridotta, algoritmi o protocolli crittografici mal progettati, ecc.); 3) Sfruttamento di errori nell’implementazione delle contromisure ICT (esempio buffer overflow, realizzazione non corretta di algoritmi crittografici, ecc.); 4) Sfruttamento di errori nella configurazione e nell’utilizzo delle contromisure ICT (esempio regole di filtraggio di un firewall, uso di password banali, ecc.). Per quanto concerne le tipologie di modalità di attuazione più utilizzate negli anni 80 e 90 sono cosi elencate: Nel periodo temporale 1980-1998 secondo la fonte CERT (i cert sono dei centri che servono a gestire le emergenze informatiche) sono cosi riassunti: DECENNIO 1980-1990 Password guessing (la facilità nel riconoscere facilmente le password) .Il fenomeno del password guessing consiste nel "rubare" la password di un altro utente. Per prendere un valido account a cui dare una password bisogna "fingerare" (attacco tramite finger) l'utente e leggere (anche se criptato) il passwd file; è meglio se il finger viene fatto durante il giorno. Una volta trovato l'account (tramite il finger oppure nel passwd file), bisogna inserire una alla volta le password della lista. password banali account nome/nome o cognome/cognome+nnn (elenco telefonico); account parola1/parola2+nnn (dizionario eventualmente contestualizzato); password non protette fuori del contesto ICT; account di default ancora attivi. Codice software autoreplicante (1983) Questo codice software colpì tra il 1983 e il 1 RUBRICA ON LINE “SICUREZZA INFORMATICA E TUTELA DELLA PRIVACY” 1985 i primi home computer (Commodore 64, Sinclair ZX Spectrum e i primi PC MSDos) ed era un codice malevolo (es.: virus) inserito nei programmi registrati su supporto magnetico (floppy disk). Da questa minaccia erano immuni all’inizio i computer aziendali (per lo più mainframe con terminali non intelligenti (monitor più tastiera) fanno altro che leggere nell'ordine tutte le parole in elenco fino a ritrovare quella giusta. Sovrascrittura della password: Questa è una delle tecniche più semplici ma non ha un’alta percentuale di riuscita. Ovviamente con questa tecnica non viene trovata la password ma si cerca di leggere il contenuto del file e così poterla sovrascrivere. Password cracking (1986) Per password cracking si intendono tutte quelle operazioni che consentono, in condizioni lecite e non, di reperire una password da una qualsiasi tipo di fonte di informazione ad esempio un file criptato. Questo tipo di attacco può essere effettuato in modalità remota oppure locale e i metodi di decodifica possono essere: Brutal force attack: Questa algoritmo di decodifica richiede un notevole tempo di elaborazione e mira ad accedere al sistema tramite tentativi di login a ripetizione finchè non si trova un utente e una password validi. Il processo di brutal force attack richiede parecchio tempo infatti il processo di decodifica parte con un singolo carattere e prosegue ordinatamente aumentandone il numero e le combinazioni. Ad esempio: una password di 8 caratteri da un set di caratteri Ascii di 128 caratteri, un pc Pentiun 4/2.5 Ghz che permette di trattare in 1 secondo 25 milioni di combinazioni impiegherebbe, per decriptare la combinazioni di caratteri, ben 91 anni "le possibili combinazioni che dovrebbe verificare sarebbero 72.057.594.037.927.900". Dictionary attack: Quest'altro tipo di algoritmo di decodifica si basa su una semplice consultazione di un dizionario di termini e nomi "in genere si tratta di file di testo". Il sistema di decodifica è semplice i programmi, realizzati a tale scopo, non Known-plaintext attack E' un tipo di attacco basato sull’utilizzo di una versione non codificata e non compressa di uno dei file contenuti nell’archivio protetto da password. Questo file viene usato per "decodificare" tutti gli altri. Un attacco di questo tipo può essere utilizzato, in questa circostanza, non solo per decodificare gli altri due file ma anche per risalire alla password. Un attacco known-plaintext è molto complicato ma, solitamente, è quello che dà i risultati migliori Con l’avvento del password craking i primi terminali ad essere colpiti furono quelli con sistema operativo Unix. Infatti il file degli account (nella directory /etc) è accessibile in lettura a tutti gli utenti e contenente le coppie nome utente/(nome utente cifrato con algoritmo noto e chiave costituita dalla password) per cui anche password di buona qualità potevano essere così scoperte Sfruttamento di vulnerabilità note (1986) Inizialmente furono colpiti i sistemi Unix (con il worm di R. Morris) e VMS (con il “Worm Against Nuclear Killers – WANK”) Disabilitazione della funzione di auditing (1988) Nel 1988 gli hacker cominciano ad eseguire anche azioni che lascerebbero tracce nei file di auditing, ma imparano a 2 RUBRICA ON LINE “SICUREZZA INFORMATICA E TUTELA DELLA PRIVACY” cancellare tali tracce, facilitati dal prevalente uso come “scatola nera” dei file di auditing da parte degli amministratori di sistema. Infatti riescono ad effettuare la modifica della data/ora di sistema prima del reinserimento dei file di auditing depurati dalle registrazioni degli eventi anomali causati dagli hacker. attività può essere svolta sia per scopi legittimi (ad esempio l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). I prodotti software utilizzati per eseguire queste attività vengono detti sniffer ed oltre ad intercettare e memorizzare il traffico offrono funzionalità di analisi del traffico stesso. Gli sniffer intercettano i singoli pacchetti, decodificando le varie intestazioni di livello datalink, rete, trasporto, applicativo. Inoltre possono offrire strumenti di analisi che analizzano ad esempio tutti i pacchetti di una connessione TCP per valutare il comportamento del protocollo o per ricostruire lo scambio di dati tra le applicazioni. Col diffondersi di questo fenomeno si sviluppa l’esigenza degli hacker di scoprire anche le password più robuste, sfruttando la possibilità offerta dalla famiglia di protocolli TCP/IP di leggere via software tutto il traffico che transita su una scheda di rete. Vengono sviluppati degli sniffer specializzati nella cattura delle password (attivazione automatica della registrazione del traffico dopo aver individuato l’inizio di una nuova sessione), i quali possono essere utilizzati in architetture di rete “a bus” o introducendo appositamente nuovi nodi in architetture “a stella”. Backdoor (1989) Le backdoors sono quelle password che il programmatore del sistema mette per avere accesso in futuro a quel dato computer e che solamente lui conosce. Per cercare di individuare la password bisogna fare lunghe ricerca sulla persona che ha impostato tutto il sistema. Il backdoor non era nient’altro che codice malevolo, eseguito con privilegi di amministratore sul sistema ICT violato, che consentiva un più agevole e veloce accesso al sistema dopo la sua iniziale violazione con sfruttamento passo-passo delle vulnerabilità note (connessioni TCP su porte di rara utilizzazione, magic passwords, ecc) DECENNIO 1990-2000 Hijacking session (1992 ) Rappresenta una sessione lasciata appesa (shell aperta), su alcuni sistemi ICT, dopo la chiusura o la caduta di un collegamento via modem. Semplice da portare a termine e non è di tipo blind (si conoscono perfettamente i numeri di sequenza della connessione) ed ha un’estrema facilità nell’oscurare un lato della comunicazione e inserirsi al suo posto. Stealth Diagnostic (1994) Nel 1994 viene sviluppato da parte di amministratori di sistema, il programma SATAN (Security Administrator Tool for Analyzing Networks). SATAN permetteva di monitorare da remoto le vulnerabilità Sniffer (1993) note e le patch presenti sui sistemi ICT. Il Nel 1993 si sviluppa il fenomeno dello programma viene ben presto utilizzato sniffing intesa come l'attività di dagli hacker come strumento per facilitare intercettazione passiva dei dati che gli attacchi informatici. Con il tempo altri transitano in una rete telematica. Tale programmi dello stesso tipo vengono 3 RUBRICA ON LINE “SICUREZZA INFORMATICA E TUTELA DELLA PRIVACY” sviluppati dagli hacker includendo anche l’esecuzione di attacchi in grado di WWW Attack/incident (1997) sfruttare le vulnerabilità note trovate Serie di attacchi basati su vulnerabilità web principalmente miranti alla Packet Spoofing (1994) sostituzione della home page (web E’ un attacco effettuato utilizzando defacement). Famosi furono gli attacchi a l’indirizzo IP di un altro computer ritenuto Ebay e Yahoo che ebbero effetti molto fidato dal computer attaccato. Venne negativi anche sulle quotazioni in borsa eseguito da Kevin David Mitnick per delle società. Anche questi attacchi furono violare il server Sun Solaris di un spesso eseguiti da persone non molto consulente del governo americano che esperte tecnicamente aveva fornito indicazioni per intercettare le comunicazioni dei cellulari (l’hacker venne Denial of Service (1998 ) a lungo ricercato dall’FBI con l’aiuto degli L’attacco Dos (Denial of service) D.o.S è operatori di telefonia fino all’arresto acronimo di “Denial of Service” ovvero avvenuto nel 1995). “Negazione del Servizio”. Questo tipo di attacco informatico consiste nell’inondare GUI (1996) un determinato servizio con una quantità di Sono strumenti di attacco di facile utilizzo dati che il servizio colpito non può gestire e basati sull’interfaccia d’utente grafica quindi va in tilt e si blocca Il flood (Graphical User Interface) invece che su (inondazione) viene provocato di solito con un’interfaccia di tipo testo a righe di programmi di loop (quei programmi che comando. Diviene molto più ampio il ripetono una data azione “n” volte) che numero di soggetti in grado di usare i mandano simultaneamente tante richieste programmi per eseguire gli attacchi. a quel dato servizio (che può gestire solo Conseguentemente cresce notevolmente un numero finito di richieste per quanto il numero degli attacchi alto possa essere) fino a bloccarlo. Il D.o.S in una piccola fascia di casi può essere Automated probe/scan (1997) usato anche per acquisire i privilegi di E’ una tecnica d’attacco basata sull’utilizzo amministratore: conosciuta era la falla di di strumenti che eseguono scansioni delle un router Cisco di vecchia data che porte TCP/IP e individuazione di permetteva una volta freezato (bloccato) di vulnerabilità note. L’utilizzazione di tali subentrare come amministratore. Quando strumenti portò all’esecuzione di numerosi l’attacco viene utilizzato da più terminali attacchi. Spesso tali attacchi furono contemporaneamente si parla di D.D.o.S compiuti da soggetti non molto esperti (ovvero di attacco dos distribuito). In tecnicamente che però riuscivano ad queste tipologia di attacco molti computer utilizzare i potenti strumenti di attacco di soggetti ignari contribuiscono ad disponibili. eseguire l’attacco. 4