Ogni tanto le tv passano notizie su intrusioni informatiche ad aziende americane o attacchi informatici su larga scala, ma nessuno da notizie su come sia potuto accadere. Quindi oggi, senza la pretesa di spiegare nel dettaglio l’argomento vediamo come avviene un attacco informatico.
“Conosci il nemico come conosci te stesso. Se fari così, anche in mezzo a cento battaglie non ti troverai mai in pericolo”, così recita l’Arte della guerra di Sun Tzu, ed è proprio questo lo scopo di questo articolo. Per potersi difendere da attacco informatico, è necessario conoscere la strategia di attacco degli hacker, fase per fase.
Come avviene un attacco informatico
Eccoti allora le 5 fasi che caratterizzano ogni attacco informatico alle aziende da parte dei criminali informatici di tutto il mondo.
- Ricognizione e raccolta di informazioni
- Scansione
- Ottenimento dell’accesso
- Mantenimento dell’accesso
- Eliminazione tracce
Step 1 – Ricognizione e raccolta informazioni
La prima fase è quella più importante e prevede la raccolta del maggior numero di informazioni possibili sull’obiettivo. Le modalità prevedono sia l’uso del computer, sia tecniche di Social Engineering che Dumpster Diving.
Al computer il criminale tenta di rilevare porte aperte, mappatura di rete, pc accessibili, posizioni dei router, dettagli di funzionamento di applicazioni ecc.
Il social Engineering o ingegneria sociale, usa una serie di tecniche per ottenere informazioni sensibili dalle persone (numeri di telefono interni, nomi di responsabili, procedure e protocolli interni). Il Dumpster Diving (immersione nel cassonetto) mira a recuperare dai rifiuti documenti e informazioni ritenuti non importanti dall’azienda ma che contengono informazioni utili all’attacco come ad esempio il nome del’azienda delle pulizie, una fattura di un servizio di hosting ecc…
Step 2 – Scansione
La scansione è la prima fase operativa. Con le informazioni raccolte, ora si passa all’identificazione delle vulnerabilità. Non parlo solo delle vulnerabilità dei sistemi informatici ma anche delle vulnerabilità delle procedure aziendali.
Dal punto di vista informatico si fa uso di port scanner, database di exploit e qualsiasi altro strumento automatizzato per rilevare eventuali vulnerabilità.
Per quanto riguarda le procedure aziendali, attraverso appostamenti, telefonate o contatto diretto con i dipendenti, si identificano i punti deboli utilizzabili per l’attacco, come ad esempio un buco nel cambio torno delle pulizie, un accesso non monitorato durante la pausa caffè ecc…
Step 3 – Ottenimento dell’accesso
Questa è la fase più importante! Viene effettuata sfruttando le informazioni recuperate nelle fasi precedenti.Un pc non aggiornato che è connesso ad internet può essere vulnerabile ed attaccabile con un exploit, ma allo stesso modo lo è un dipendente che lascia la password su un post-it nel primo cassetto della scrivania.
L’accesso quindi può avvenire da remoto ma anche on site. Ovviamente è molto più rischiosa la seconda modalità pertanto è preferibile l’accesso da rete esterna in modo da potersi nascondere dietro vari firewall e proxy.
Step 4 – Mantenimento dell’accesso
Una volta ottenuto l’accesso è necessario facilitare i successivi lasciandosi aperta una “porta sul retro”. La procedura di accesso della fase 3 potrebbe essere complicata o non utilizzabile più volte pertanto dovranno essere installati software denominati appunto backdoor, che garantiscono un’entrata di riserva nascosta da utilizzare successivamente.
Su sistemi Windows e linux le modalità di apertura di backdoor sono diverse ma sostanzialmente si tratta di installare software che rimangono residenti e vengono avviati automaticamente ad ogni avvio del sistema. Questi programmi aprono dei canali non convenzionali di comunicazione verso l’esterno che possono essere sfruttati soltanto da coloro che ne conoscono il funzionamento e i parametri di accesso.
Step 5 – Eliminazione delle tracce
Per evitare di essere scoperti è necessario eliminare tutte le prove del proprio passaggio e delle attività svolte all’interno di ogni computer attaccato. Ogni sistema operativo mantiene al suo interno uno o più registri delle operazioni svolte ed è quindi facile per un amministratore di sistema risalire ad un accesso indesiderato.
Molti registri contengono dati incrociati pertanto l’eliminazione delle tracce non è la tecnica più veloce. E’ preferibile in questi casi modificare i dati di accesso, per rendere complicato o addirittura impossibile risalire al momento e alla tipologia di attacco. In alternativa, un sistema molto veloce è il ripristino di una versione precedente dei registri di accesso.
Se l’accesso avviene tramite rete esterna non è possibile eliminare tutte le tracce, quindi l’utilizzo di proxy multipli in cascata è un’ottima tecnica per rendere impossibile il tracing. Alcune organizzazione di cyber criminali utilizzano proxy in paesi con i quali non esistono accordi internazionali di interscambio di informazioni, pertanto rendono impossibile la tracciabilità dell’attacco.
Conclusione
Ora che sai come avviene un attacco informatico e quali sono le fasi che lo caratterizzano sai anche quali possono essere i punti deboli della tua organizzazione da tenere sotto controllo. Se hai un’azienda e ritieni di dover rivedere la politica di sicurezza informatica, i consiglio di rivolgerti ad aziende specializzate che ti sapranno guidare in questa fase.
A presto
Giuseppe
Lascia un commento