Le modalità di attuazione di minacce intenzionali che sono state

RUBRICA ON LINE
“SICUREZZA INFORMATICA E TUTELA DELLA PRIVACY”
Le modalità di attuazione di minacce
intenzionali che sono state
maggiormente utilizzate negli
anni Ottanta e Novanta
Antonio GUZZO
Responsabile CED – Sistemi Informativi del Comune di Praia a Mare
Le modalità di attuazione di minacce
intenzionali sono cosi sinteticamente
descritte:
1) Individuazione di attacchi non
contrastati da alcuna contromisura
ICT
(ad
esempio
basati
sull’inferenza, cioè non mi posso
limitare a considerare ciò che può
essere fatto da un determinato
soggetto
quando
accede
direttamente
a
determinate
informazioni
ma
mi
devo
preoccupare anche del fatto che
potrebbe accederci in modo
indiretto sfruttando la conoscenza
di altre informazioni);
2) Sfruttamento di debolezze insite nei
principi teorici di funzionamento
delle contromisure ICT (ad esempio
meccanismi di autenticazione con
password di lunghezza ridotta,
algoritmi o protocolli crittografici
mal progettati, ecc.);
3) Sfruttamento
di
errori
nell’implementazione
delle
contromisure ICT (esempio buffer
overflow, realizzazione non corretta
di algoritmi crittografici, ecc.);
4) Sfruttamento
di
errori
nella
configurazione e nell’utilizzo delle
contromisure ICT (esempio regole
di filtraggio di un firewall, uso di
password banali, ecc.).
Per quanto concerne le tipologie di
modalità di attuazione più utilizzate negli
anni 80 e 90 sono cosi elencate:
Nel periodo temporale 1980-1998 secondo
la fonte CERT (i cert sono dei centri che
servono
a
gestire
le
emergenze
informatiche) sono cosi riassunti:
DECENNIO 1980-1990
Password guessing (la facilità nel
riconoscere facilmente le password) .Il
fenomeno del password guessing consiste
nel "rubare" la password di un altro utente.
Per prendere un valido account a cui dare
una password bisogna "fingerare" (attacco
tramite finger) l'utente e leggere (anche se
criptato) il passwd file; è meglio se il finger
viene fatto durante il giorno. Una volta
trovato l'account (tramite il finger oppure
nel passwd file), bisogna inserire una alla
volta le password della lista.
password banali
account
nome/nome
o
cognome/cognome+nnn
(elenco
telefonico);
account parola1/parola2+nnn (dizionario
eventualmente contestualizzato);
password non protette fuori del contesto
ICT;
account di default ancora attivi.
Codice software autoreplicante (1983)
Questo codice software colpì tra il 1983 e il
1
RUBRICA ON LINE
“SICUREZZA INFORMATICA E TUTELA DELLA PRIVACY”
1985 i primi home computer (Commodore
64, Sinclair ZX Spectrum e i primi PC MSDos) ed era un codice malevolo (es.:
virus) inserito nei programmi registrati su
supporto magnetico (floppy disk). Da
questa minaccia erano immuni all’inizio i
computer aziendali (per lo più mainframe
con terminali non intelligenti (monitor più
tastiera)
fanno altro che leggere nell'ordine tutte le
parole in elenco fino a ritrovare quella
giusta.
Sovrascrittura della password: Questa è
una delle tecniche più semplici ma non ha
un’alta percentuale di riuscita. Ovviamente
con questa tecnica non viene trovata la
password ma si cerca di leggere il
contenuto del file e così poterla
sovrascrivere.
Password cracking (1986)
Per password cracking si intendono tutte
quelle operazioni che consentono, in
condizioni lecite e non, di reperire una
password da una qualsiasi tipo di fonte di
informazione ad esempio un file criptato.
Questo tipo di attacco può essere
effettuato in modalità remota oppure
locale e i metodi di decodifica possono
essere:
Brutal force attack: Questa algoritmo di
decodifica richiede un notevole tempo di
elaborazione e mira ad accedere al
sistema tramite tentativi di login a
ripetizione finchè non si trova un utente e
una password validi. Il processo di brutal
force attack richiede parecchio tempo
infatti il processo di decodifica parte con
un singolo carattere e prosegue
ordinatamente aumentandone il numero e
le combinazioni. Ad esempio: una
password di 8 caratteri da un set di
caratteri Ascii di 128 caratteri, un pc
Pentiun 4/2.5 Ghz che permette di trattare
in 1 secondo 25 milioni di combinazioni
impiegherebbe,
per
decriptare
la
combinazioni di caratteri, ben 91 anni "le
possibili combinazioni che dovrebbe
verificare
sarebbero
72.057.594.037.927.900".
Dictionary attack: Quest'altro tipo di
algoritmo di decodifica si basa su una
semplice consultazione di un dizionario di
termini e nomi "in genere si tratta di file di
testo". Il sistema di decodifica è semplice i
programmi, realizzati a tale scopo, non
Known-plaintext attack
E' un tipo di attacco basato sull’utilizzo di
una versione non codificata e non
compressa di uno dei file contenuti
nell’archivio protetto da password. Questo
file viene usato per "decodificare" tutti gli
altri. Un attacco di questo tipo può essere
utilizzato, in questa
circostanza, non solo per decodificare gli
altri due file ma anche per risalire alla
password. Un attacco known-plaintext è
molto complicato ma, solitamente, è quello
che dà i risultati migliori
Con l’avvento del password craking i primi
terminali ad essere colpiti furono quelli con
sistema operativo Unix. Infatti il file degli
account (nella directory /etc) è accessibile
in lettura a tutti gli utenti e contenente le
coppie nome utente/(nome utente cifrato
con algoritmo noto e chiave costituita dalla
password) per cui anche password di
buona qualità potevano essere così
scoperte
Sfruttamento di vulnerabilità note
(1986)
Inizialmente furono colpiti i sistemi Unix
(con il worm di R. Morris) e VMS (con il
“Worm Against Nuclear Killers – WANK”)
Disabilitazione
della
funzione
di
auditing (1988)
Nel 1988 gli hacker cominciano ad
eseguire anche azioni che lascerebbero
tracce nei file di auditing, ma imparano a
2
RUBRICA ON LINE
“SICUREZZA INFORMATICA E TUTELA DELLA PRIVACY”
cancellare tali tracce, facilitati dal
prevalente uso come “scatola nera” dei
file
di
auditing
da
parte
degli
amministratori di sistema. Infatti riescono
ad effettuare la modifica della data/ora di
sistema prima del reinserimento dei file di
auditing depurati dalle registrazioni degli
eventi anomali causati dagli hacker.
attività può essere svolta sia per scopi
legittimi (ad esempio l'individuazione di
problemi di comunicazione o di tentativi di
intrusione)
sia
per
scopi
illeciti
(intercettazione fraudolenta di password o
altre informazioni sensibili). I prodotti
software utilizzati per eseguire queste
attività vengono detti sniffer ed oltre ad
intercettare e memorizzare il traffico
offrono funzionalità di analisi del traffico
stesso. Gli sniffer intercettano i singoli
pacchetti,
decodificando
le
varie
intestazioni di livello datalink, rete,
trasporto, applicativo. Inoltre possono
offrire strumenti di analisi che analizzano
ad esempio tutti i pacchetti di una
connessione TCP
per
valutare
il
comportamento del protocollo o per
ricostruire lo scambio di dati tra le
applicazioni.
Col diffondersi di questo fenomeno si
sviluppa l’esigenza degli hacker di scoprire
anche le password più robuste, sfruttando
la possibilità offerta dalla famiglia di
protocolli TCP/IP di leggere via software
tutto il traffico che transita su una scheda
di rete. Vengono sviluppati degli sniffer
specializzati nella cattura delle password
(attivazione automatica della registrazione
del traffico dopo aver individuato l’inizio di
una nuova sessione), i quali possono
essere utilizzati in architetture di rete “a
bus” o introducendo appositamente nuovi
nodi in architetture “a stella”.
Backdoor (1989)
Le backdoors sono quelle password che il
programmatore del sistema mette per
avere accesso in futuro a quel dato
computer e che solamente lui conosce.
Per cercare di individuare la password
bisogna fare lunghe ricerca sulla persona
che ha impostato tutto il sistema. Il
backdoor non era nient’altro che codice
malevolo, eseguito con privilegi di
amministratore sul sistema ICT violato,
che consentiva un più agevole e veloce
accesso al sistema dopo la sua iniziale
violazione con sfruttamento passo-passo
delle vulnerabilità note (connessioni TCP
su porte di rara utilizzazione, magic
passwords, ecc)
DECENNIO 1990-2000
Hijacking session (1992 )
Rappresenta una sessione lasciata
appesa (shell aperta), su alcuni sistemi
ICT, dopo la chiusura o la caduta di un
collegamento via modem. Semplice da
portare a termine e non è di tipo blind (si
conoscono perfettamente i numeri di
sequenza della connessione) ed ha
un’estrema facilità nell’oscurare un lato
della comunicazione e inserirsi al suo
posto.
Stealth Diagnostic (1994)
Nel 1994 viene sviluppato da parte di
amministratori di sistema, il programma
SATAN (Security Administrator Tool for
Analyzing Networks). SATAN permetteva
di monitorare da remoto le vulnerabilità
Sniffer (1993)
note e le patch presenti sui sistemi ICT. Il
Nel 1993 si sviluppa il fenomeno dello programma viene ben presto utilizzato
sniffing
intesa
come
l'attività
di dagli hacker come strumento per facilitare
intercettazione passiva dei dati che gli attacchi informatici. Con il tempo altri
transitano in una rete telematica. Tale programmi dello stesso tipo vengono
3
RUBRICA ON LINE
“SICUREZZA INFORMATICA E TUTELA DELLA PRIVACY”
sviluppati dagli hacker includendo anche
l’esecuzione di attacchi in grado di WWW Attack/incident (1997)
sfruttare le vulnerabilità note trovate
Serie di attacchi basati su vulnerabilità
web
principalmente
miranti
alla
Packet Spoofing (1994)
sostituzione della home page (web
E’ un attacco effettuato utilizzando defacement). Famosi furono gli attacchi a
l’indirizzo IP di un altro computer ritenuto Ebay e Yahoo che ebbero effetti molto
fidato dal computer attaccato. Venne negativi anche sulle quotazioni in borsa
eseguito da Kevin David Mitnick per delle società. Anche questi attacchi furono
violare il server Sun Solaris di un spesso eseguiti da persone non molto
consulente del governo americano che esperte tecnicamente
aveva fornito indicazioni per intercettare le
comunicazioni dei cellulari (l’hacker venne Denial of Service (1998 )
a lungo ricercato dall’FBI con l’aiuto degli L’attacco Dos (Denial of service) D.o.S è
operatori di telefonia fino all’arresto acronimo di “Denial of Service” ovvero
avvenuto nel 1995).
“Negazione del Servizio”. Questo tipo di
attacco informatico consiste nell’inondare
GUI (1996)
un determinato servizio con una quantità di
Sono strumenti di attacco di facile utilizzo dati che il servizio colpito non può gestire e
basati sull’interfaccia d’utente grafica quindi va in tilt e si blocca Il flood
(Graphical User Interface) invece che su (inondazione) viene provocato di solito con
un’interfaccia di tipo testo a righe di programmi di loop (quei programmi che
comando. Diviene molto più ampio il ripetono una data azione “n” volte) che
numero di soggetti in grado di usare i mandano simultaneamente tante richieste
programmi per eseguire gli attacchi. a quel dato servizio (che può gestire solo
Conseguentemente cresce notevolmente un numero finito di richieste per quanto
il numero degli attacchi
alto possa essere) fino a bloccarlo. Il D.o.S
in una piccola fascia di casi può essere
Automated probe/scan (1997)
usato anche per acquisire i privilegi di
E’ una tecnica d’attacco basata sull’utilizzo amministratore: conosciuta era la falla di
di strumenti che eseguono scansioni delle un router Cisco di vecchia data che
porte TCP/IP e individuazione di permetteva una volta freezato (bloccato) di
vulnerabilità note. L’utilizzazione di tali subentrare come amministratore. Quando
strumenti portò all’esecuzione di numerosi l’attacco viene utilizzato da più terminali
attacchi. Spesso tali attacchi furono contemporaneamente si parla di D.D.o.S
compiuti da soggetti non molto esperti (ovvero di attacco dos distribuito). In
tecnicamente che però riuscivano ad queste tipologia di attacco molti computer
utilizzare i potenti strumenti di attacco di soggetti ignari contribuiscono ad
disponibili.
eseguire l’attacco.
4