28 Novembre 2013

Nozioni di sicurezza informatica

L’insieme di pratiche, tecniche ed accorgimenti utilizzati per tentare di annullare o ridurre al minimo tutti i possibili danni o problemi (intenzionali o accidentali) ai sistemi informativi ed informatici, derivanti da agenti umani o da eventi esterni, rientra nello sconfinato, inarrestabile e dinamico mondo che definiamo sintenticamente sicurezza informatica.

Inoltre tra gli altri obiettivi che la sicurezza informatica si prefigge di garantire troviamo i seguenti :

  1. L’ integrità, cioè garantire che i dati  e le informazioni siano effettivamente quelli che si pensano
  2. La confidenzialità, cioè assicurare che solo le persone autorizzate abbiano accesso alle risorse disponibili nelle reti private
  3. La disponibilità, che permette di mantenere il corretto funzionamento del sistema informativo garantendo l’accesso agli archivi di dati
  4. Il non ripudio, che permette di garantire che una transazione non possa essere negata
  5. L’autenticazione, che consiste nell’assicurare che solo le persone autorizzate abbiano accesso alle risorse.

Nuovi termini vengono continuamente coniati per cercare di classificare i principali sistemi di violazione dei sistemi di elaborazione ed archiviazione dei dati (esiste una marea di libri a riguardo, ma tra questi i primi che mi capita di poter indicare per esempio sono:

http://www.lafeltrinelli.it/Privacy,diritto e sicurezza informatica/Pier Luigi Perri.html

http://www.lafeltrinelli.it/products/Hacker_60/McClure_Stuart.html

http://daily.wired.it/news/tech/hacker-una-storia-lunga-50-anni.html 

http://aranzulla.tecnologia.virgilio.it/sicurezza-informatica.html)

 

Ecco un elenco di alcune di queste tecniche illegali:

Lo Sniffing : consiste nell’analisi (“annusare”, “ascoltare”) dei “pacchetti” di dati della vittima, per recuperare le più svariate informazioni riservate. Per farlo, ovviamente, si devono “deviare” i dati verso il proprio computer, dove poterli poi esaminare, in tempo reale o, più spesso, in un secondo momento. Lo sniffing  prevede essenzialmente due fasi: la registrazione o “cattura” e l’analisi. Per esempio, dotandosi di una potente antenna WiFi, ci si colloca a una distanza inferiore ai cento metri dall’obiettivo, e si avvia la registrazione. Poi si passa all’analisi. Qui, in base al tipo di dati, si sceglie una tecnica diversa. Spesso, per esempio, i dati sono criptati (codificati), e quindi c’è prima la necessità di metterli “in chiaro”, cioè decrittarli.

Lo Spoofing: è un tipo di attacco informatico dove viene impiegata in qualche maniera la falsificazione dell’identità (spoof). Lo spoofing (“imbrogliare, frodare”) può avvenire in qualunque livello della pila ISO/OSI e oltre: può riguardare anche la falsificazione delle informazioni applicative. Quando la falsificazione dell’identità non avviene in campo informatico si parla di social engineering. Lo spoofing di indirizzi IP prevede la falsificazione della provenienza dei pacchetti, facendo credere ad un computer che il reale mittente delle informazioni sia una persona differente. Lo spoofing dei dati, invece, consiste nel prendere il controllo del canale di comunicazione e nell’inserire, modificare, cancellare i dati che vengono trasmessi. Per difendersi bisogna applicare tecniche di autenticazione non solo basate sul suo indirizzo ip e impiegare la serializzazione dei pacchetti [concetti che non approfondiamo].

Il Dos (denial of service)(negazione di servizio) : è un attacco mirato a rendere indisponibili per un periodo di tempo indeterminato i servizi o le risorse che un’organizzazione normalmente eroga. Si tratta nella maggior parte dei casi di attacchi verso i server di una società, per far si che non possano essere usati e consultati.

Il Flooding: è un attacco di tipo Dos,  attuato dalla rete  (flood significa riempire, sommergere), con il quale si rende inutilizzabile la rete di computer saturando la capacità di gestire il traffico in entrata. Necessita di software particolari per contrastarlo. Oggi gli attacchi DoS hanno la connotazione decisamente più “criminale” di impedire agli utenti della rete l’accesso ai siti web vittime dell’attacco. Per rendere più efficace l’attacco in genere vengono utilizzati molti computer inconsapevoli, detti zombie, sui quali precedentemente è stato inoculato un programma appositamente creato per attacchi DoS e che si attiva ad un comando proveniente dal cracker creatore. Se il programma maligno si è diffuso su molti computer, può succedere che migliaia di PC violati da un cracker, ovvero una botnet, producano inconsapevolmente e nello stesso istante un flusso incontenibile di dati che travolgeranno come una valanga anche i  link più capienti del sito bersaglio.

Il Mailbombing (letteralmente bombardamento postale) è un’altra tecnica di tipo Dos, in cui un numero enorme di e-mail vengono inviati ad un unico destinatario, tramite appositi programmi chiamati Mail-Bomber, provocandone l’intasamento della casella di posta. Di conseguenza il destinatario non potrà usare la connessione Internet per altri scopi dato il notevole rallentamento dovuto anche ai server esterni impegnati nella scansione antispam e antivirus dei messaggi ricevuti. Inoltre il computer del destinatario , in difficoltà, potrebbe iniziare a dare pareri positivi ad ogni domanda posta ( per esempio essere indotto a consentire  l’accesso alla rete privata , anche in mancanza di password corretta).

Lo Spamming : invio di posta elettronica a chi non vuole riceverla (spesso pubblicità).

Il Tcp Syn: è un attacco di tipo Dos, caratterizzato dalla richiesta di un grande numero di connessioni, apparentemente da host diversi, ad un router il quale però non riceverà mai l’acknowledgment di chiusura del “TCP three-way handshake” (“stretta di mano”) (cioè la conferma della chiusura della fase di negoziazione per stabilire una connessione tra mittente e ricevente), causando così il riempimento della sua coda di connessione e quindi realizzando una situazione di Denial of Service. In questa circostanza non è possibile rintracciare l’origine dell’attacco in quanto il mittente viene falsificato, né esistono metodi semplici di difesa.

Il Nuking : ovvero mandare in crash (blocco irreversibile con schermata blu) Windows, magari usando anche le Backdoor (porte di servizio) (usando una funzione non documentata o la vulnerabilità del sistema operativo non ancora dichiarata) e/o anche attraverso un attacco Rootkit (sostituisce i file di sistema con quelli modificati o direttamente modifica il cuore del sistema operativo – kernel).

Lo Smurfing :  tecnica basata sull’utilizzazione di un server di broadcast (cioè un server capace di duplicare un messaggio è di inviarlo a tutti i terminali presenti sulla stessa rete). Il computer che attacca invia una richiesta ping (per testare le connessioni su una rete inviando un pacchetto e aspettando la risposta) a uno o più server di distribuzione falsificando l’indirizzo IP sorgente (indirizzo al quale il server deve teoricamente rispondere) e fornendo l’indirizzo di un terminale bersaglio dell’attacco. Il server di distribuzione trasmette la richiesta a tutta la rete ; tutti i terminali della rete inviano una risposta al server di distribuzione, il server broadcast reindirizza le risposte verso i terminali bersaglio dell’attacco.

 

Ecco alcune  tipologie di codice malefico (malware)(malicious software): 

(ciò che segue ha come fonte Wikipedia)

 

  •  Virus: sono parti di codice che si diffondono copiandosi all’interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti.
  • Worm: questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad eseguirli utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose.
  • Trojan horse: software che oltre ad avere delle funzionalità “lecite”, utili per indurre l’utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all’insaputa dell’utilizzatore. Non possiedono funzioni di auto-replicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia.
  • Backdoor: letteralmente “porta sul retro”. Programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata.
  • Spyware: vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato. Le informazioni carpite possono andare dalle abitudini di navigazione fino alle password e alle chiavi crittografiche di un utente.
  • Dialer: questi programmi si occupano di gestire la connessione ad internet tramite la normale linea telefonica. Sono malware quando vengono utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all’insaputa dell’utente.
  • Hijacker: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l’apertura automatica d i pagine web indesiderate.
  • Rootkit: i rootkit solitamente sono composti da un driver e, a volte, da copie modificate di programmi normalmente presenti nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all’utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan.
  • Scareware: sono così chiamati quei programmi che ingannano l’utente facendogli credere di avere il proprio PC infetto, allo scopo di fargli installare dei particolari malware, chiamati in gergo rogue antivirus, caratterizzati dal fatto di spacciarsi per degli antivirus veri e propri, talvolta spacciati anche a pagamento.