La tua rete sicuramente affronta minacce di sicurezza reali e queste minacce possono manifestarsi in varie forme. Esistono diversi modi in cui si potrebbe scegliere di classificare le varie minacce al proprio sistema. Potresti scegliere di classificarli in base al danno causato, al livello di abilità richiesto per eseguire l’attacco o forse anche alla motivazione dietro l’attacco. Per i nostri scopi classifichiamo gli attacchi in base a ciò che effettivamente fanno. La maggior parte degli attacchi può essere classificata in una delle tre classi principali:
La categoria delle intrusioni include attacchi intesi a violare la sicurezza e ottenere l’accesso non autorizzato a un sistema per esempio un attacco bruteforce. Questo gruppo di attacchi include qualsiasi tentativo di ottenere accesso non autorizzato a un sistema. Questo è generalmente ciò che fanno gli attaccanti quando provano ad attaccare porta ssh, o login form su porta 80.
La seconda categoria di attacco, il blocco del sistema, include attacchi progettati per impedire l’accesso legittimo a un sistema. Gli attacchi bloccati sono spesso chiamati attacchi denial of service (o semplicemente DoS). In questi tipi di attacchi, lo scopo non è quello di entrare nel tuo sistema, ma semplicemente di impedire l’accesso agli utenti legittimi.
La terza categoria di minacce è l’installazione di malware su un sistema. Malware è un termine generico per software che ha uno scopo dannoso. Include attacchi di virus, cavalli di Troia e spyware.
Il malware è probabilmente la minaccia più comune a qualsiasi sistema, compresi i sistemi degli utenti domestici, le reti di piccole dimensioni e le reti di grandi dimensioni di grandi aziende. Uno dei motivi è che il malware è progettato per diffondersi da solo, senza che il creatore del malware debba essere direttamente coinvolto. Ciò rende l’attacco di malware molto più facile da diffondere su Internet e quindi più diffuso.
L’esempio più ovvio di malware è il virus informatico. Probabilmente hai un’idea generale di cosa sia un virus. Se consulti libri di testo diversi, probabilmente vedrai la definizione di un virus formulato in modo leggermente diverso. Una definizione per un virus è “un programma che può” infettare “altri programmi modificandoli in modo da includere una copia eventualmente evoluta di se stesso.
Un virus informatico è analogo a un virus biologico in quanto si replica e si diffonde. Il metodo più comune per diffondere un virus è usare l’account di posta elettronica della vittima per diffondere il virus a tutti nella sua rubrica. Alcuni virus non danneggiano effettivamente il sistema stesso, ma tutti causano rallentamenti o arresti della rete a causa del traffico intenso della rete causato dalla replicazione del virus.
Un altro tipo di malware, spesso strettamente correlato al virus, è il trojan. Il termine è preso in prestito dall’antica fiaba. In questo racconto, la città di Troia fu assediata per un lungo periodo di tempo, ma gli aggressori non riuscirono a ottenere l’ingresso. Costruirono un enorme cavallo di legno e lo lasciarono una notte davanti alle porte di Troia. Il mattino seguente, gli abitanti di Troia videro il cavallo e lo presero in dono, facendo rotolare di conseguenza il cavallo di legno in città. A loro insaputa, diversi soldati erano nascosti all’interno del cavallo. Quella sera, i soldati lasciarono il cavallo, aprirono le porte della città e fecero entrare i loro compagni attaccanti in città.
Un cavallo di Troia elettronico funziona allo stesso modo, sembra essere un software benigno ma scarica segretamente un virus o qualche altro tipo di malware sul tuo computer.
Un programma che installi sul tuo computer e in seguito scopri che hai messo qualcosa di molto diverso da quello che ti aspettavi. È un dato di fatto che i trojan hanno maggiori probabilità di essere trovati in software illegittimo. Ci sono molti posti su Internet per ottenere copie piratate di software commerciale.
I trojan e i worm sono le due forme di malware più diffuse. Una terza categoria di malware è lo spyware, che sta aumentando a un ritmo drammatico. Lo spyware è un software che spia letteralmente ciò che fai sul tuo computer. Questo può essere semplice come un cookie, a un javascript infetto a un keylogger.
I cookie vengono scaricati sul tuo computer dai siti Web visitati. Questo file di testo viene quindi utilizzato per riconoscerti quando torni sullo stesso sito. Tale file può consentirti di accedere alle pagine più rapidamente e di non dover inserire le tue informazioni più volte nelle pagine che visiti frequentemente. Tuttavia, per fare ciò, il file deve essere letto dal sito Web; questo significa che può essere letto anche da altri siti Web. Tutti i dati salvati dal file possono essere recuperati da qualsiasi sito Web, pertanto è possibile tenere traccia dell’intera cronologia di navigazione in Internet.
Un’altra forma di spyware, chiamata keylogger, registra tutte le sequenze di tasti. Alcuni prendono anche schermate periodiche del tuo computer. I dati vengono quindi archiviati per il recupero in seguito dalla parte che ha installato il keylogger o vengono immediatamente restituiti via e-mail. In entrambi i casi, tutto ciò che fai sul tuo computer viene registrato per l’interessato.
Le intrusioni sono quegli attacchi che stanno effettivamente cercando di intromettersi nel sistema. Sono diversi dagli attacchi che semplicemente negano agli utenti l’accesso al sistema o dagli attacchi che non sono focalizzati su un obiettivo particolare come virus e worm (malware). Gli attacchi di intrusione sono progettati per ottenere l’accesso a uno specifico sistema di destinazione e vengono comunemente definiti bruteforce o attacchi dizionario, sebbene non sia questo il termine usato dagli hacker. Gli hacker chiamano questo tipo di attacchi come cracking logim, cracking login, il che significa intromettersi in un sistema senza permesso, di solito con intenzioni dannose. Qualsiasi attacco progettato per violare la sicurezza, tramite un difetto del sistema operativo o altri mezzi, può essere classificato come cracking.
L’uso dei difetti di sicurezza non è l’unico metodo per intromettersi in un sistema. In effetti, alcuni metodi possono essere tecnologicamente molto più semplici da eseguire. Ad esempio, un metodo completamente non tecnologicamente basato per violare la sicurezza di un sistema si chiama ingegneria sociale, che, come suggerisce il nome, si basa più sulla natura umana che sulla tecnologia. Questo era il tipo di attacco che il famoso hacker Kevin Mitnick usava più spesso. L’ingegneria sociale utilizza tecniche per indurre gli utenti a offrire le informazioni necessarie per ottenere l’accesso a un sistema di destinazione. Il modo in cui funziona questo metodo è piuttosto semplice.
Il responsabile ottiene informazioni preliminari su un’organizzazione di destinazione, ad esempio il nome dell’amministratore di sistema, e lo sfrutta per ottenere ulteriori informazioni dagli utenti del sistema. Ad esempio, potrebbe chiamare qualcuno in contabilità e dichiarare di essere uno del personale di supporto tecnico dell’azienda. L’intruso potrebbe utilizzare il nome dell’amministratore di sistema per convalidare tale affermazione. Potrebbe quindi porre varie domande per apprendere ulteriori dettagli sulle specifiche del sistema. Un intruso ben informato potrebbe persino indurre una persona a fornire un nome utente e una password. Come puoi vedere, questo metodo si basa su quanto l’intruso possa manipolare le persone e in realtà ha poco a che fare con le competenze informatiche.
La terza categoria di attacchi è il blocco degli attacchi, un esempio dei quali è l’attacco denial of service (DoS). In questo attacco, l’attaccante non accede effettivamente al sistema, ma semplicemente blocca l’accesso al sistema da utenti legittimi. Secondo le parole del Centro di coordinamento CERT (Computer Emergency Response Team) (il primo team di risposta agli incidenti di sicurezza informatica), “Un attacco di tipo” Denial of Service “è caratterizzato da un tentativo esplicito da parte degli aggressori di impedire agli utenti legittimi di un servizio di usando quel servizio. ” Un metodo di blocco spesso utilizzato è inondare il sistema di destinazione con così tante richieste di connessione false che non può rispondere a richieste legittime. DoS è un metodo di attacco estremamente comune.
