Cari lettori di Tecnogalaxy, oggi andremo a vedere nel dettaglio che tipo di tecniche di attacco utilizza un malintenzionato per attaccare un’azienda. Ovviamente per difendersi da un attacco informatico bisogna conoscere la strategia utilizzata fase per fase.

Fortunatamente possiamo essere aiutati dai White Hacker, dei veri e propri Black Hat che agiscono per aiutare le aziende ad anticipare un attacco spiegando le tecniche di difesa, eseguendo dei penetration test nel sistema aziendale per provare la sua vulnerabilità. Queste persone sono definite Ethical Hacker.

Tecniche di attacco

Facendo delle analisi, sono state individuate 5 fasi importanti che un malintenzionato segue nella sua intrusione in un sistema aziendale:

  1. Ricognizione
  2. Scansione
  3. Ottenere l’accesso
  4. Mantenimento dell’accesso
  5. Tracce di copertura

Ricognizione

Questa fase di si riferisce a quel momento di preparazione in cui un cybercriminale raccoglie quante più informazioni possibili sull’obiettivo prima di attaccarlo.

Queste tecniche possono essere categorizzate generalmente in ricognizione attiva e in quella passiva.

La ricognizione passiva non interagisce direttamente con il sistema ma vengono usate informazioni disponibili pubblicamente, sfruttando la social engineering o il dumpster diving per raccogliere informazioni. (È possibile vedere nel dettaglio come funziona il dumpster diving  a questo link.

Quando invece si utilizza la tecniche di ricognizione attiva, il malintenzionato tenta di interagire con il sistema utilizzando strumenti per rilevare porte aperte, host , posizioni router, mappatura di rete, dettagli di funzionamento di sistemi e applicazioni etc…

Scansione

La scansione è il metodo che un malintenzionato esegue prima di attaccare la rete, usando i dettagli raccolti durante le ricognizioni per identificare specifiche vulnerabilità.

Spesso vengono utilizzati strumenti automatizzati (scanner di rete/host, war dialer per individuare i sistemi e tentare di scoprire le vulnerabilità).

Il malintenzionato con questa tecnica può raccogliere informazioni sulla rete, come la mappatura di sistemi, router e firewall utilizzando strumenti semplici come Traceroute o Cheope.

Gli scanner di porte invece servono per rilevare le porte di ascolto per trovare informazioni sulla natura dei servizi in esecuzione.

Accesso

Questa è la fase più importante di un attacco in termini di danno potenziale, il malintenzionato non ha bisogno di ottenere sempre l’accesso al sistema per causare danni, ad esempio gli attacchi (denial-of-service), possono esaurire le risorse o interrompere i servizi di esecuzione sul sistema di destinazione.

L’exploit può avvenire localmente, offline o tramite LAN o Internet come inganno o furto.

Una tecnica utilizzata è lo spoofing per sfruttare il sistema fingendo di essere estranei o sistemi diversi. Con questa  tecnica per inviare un pacchetto deformato contenente un bug al sistema di destinazione in modo da sfruttare la vulnerabilità trovata.

Tra tutti gli attacchi, quello più dannoso è l’attacco denial-of-service (DoS), in cui un malintenzionato utilizza un software zombie attraverso Internet (abbiamo parlato di questa tecnica il qualche articolo precedente),  su più macchine così da innescare un arresto dei servizi su larga scala.

Mantenimento dell’accesso

Una volta ottenuto l’accesso al sistema, il malintenzionato può scegliere di utilizzare il sistema e le sue risorse per rubare informazioni, per eseguire attacchi su altre macchine, ovviamente entrambe queste azioni possono danneggiare l’organizzazione.

Un malintenzionato dopo aver portato a termine l’attacco, può scegliere di rimanere inosservato rimuovendo le prove e usando una backdoor o un Trojan per avere l’accesso al sistema senza rifare l’attacco.

Le aziende possono utilizzare i sistemi di rilevamento delle intrusioni o implementare delle honeypots e honeynet per rilevare gli intrusi.

L’ honeynet però non è raccomandato a meno che l’organizzazione non abbia l’hacker etico richiesto per proteggere la rete aziendale (non tutte le aziende hanno questa figura).

Covering Tracks

Eliminare le prove di un attacco è un requisito essenziale per chi ha effettuato l’attacco, di solito questa fase inizia con la cancellazione degli accessi e di eventuali messaggi di log di sistema.

Manipolando e modificando i registri degli eventi, l’amministratore di sistema viene ingannato e può essere convinto che l’output del suo sistema è corretto senza nessuna intrusione. Inoltre è indispensabile che il sistema rimanga com’era prima dell’attacco. Tutti i file modificati, devono essere riportati alle loro caratteristiche originarie.

Altre due tecniche utilizzate sono la steganografia e il tunnelling.

La steganografia è il processo di nascondere i dati per esempio in immagini e file audio.

Il tunnelling invece sfrutta il protocollo di trasmissione portando un protocollo su un altro.

Le aziende, devono affrontare la sicurezza come parte integrante della propria strategia aziendale e/o operativa e dotarsi di politiche e procedure adeguate per verificare tali attività.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.