Category Archives: Information Security

Il dizionario delle (principali) minacce informatiche

Il 26 gennaio 2007, è iniziata a trapelare la notizia di un defacement ai danni del portale Web dell’Aeronautica Militare (http://www.aeronautica.difesa.it). A quanto pare, un hacker turco, ha sfruttato una SQL Injection per condurre un XSS defacement, ovvero ha iniettato del codice Javascript all’interno della homepage reindirizzando i visitatori ad un sito web esterno contenente un messaggio pacifista. Il defacement è solo una delle centinaia di minacce informatiche che possono mettere a repentaglio la sicurezza delle informazioni di una organizzazione. Di seguito fornirò una breve descrizione di alcune delle principali minacce, utile alla comprensione dell’entità di alcuni attacchi condotti a Forze Armate, Industrie, Istituzioni ecc.

  • Backdoor:  Letteralmente, “porta posteriore”. Si tratta di un software che viene utilizzato da remoto per accedere ad una macchina ed eseguire modifiche a file, inviare mail di spam, accedere a siti Internet. E’ una tipologia di minaccia molto diffusa, che può manifestarsi sotto forma di un allegato di posta o tramite software accidentalmente installato sul computer semplicemente cliccando su un link presente nel testo di in una mail. Un utente potrebbe non accorgersi della presenza di questa tipologia di software poiché lo stesso viene avviato automaticamente al boot della macchina consentendo l’esecuzione di attività malevola in presenza di connettività su rete pubblica.
  • Bluejacking e Bluesnarfing:  Minacce che si concretizzano in presenza di PC o dispositivi dotati di interfaccia Bluetooth (BT). In particolare, si riceve un messaggio da un altro dispositivo tramite il BT.  Pensando di visualizzare un biglietto da visita o un messaggio multimediale si installa in realtà un programma in grado di trasferire ad altri dispositivi nelle vicinanze, informazioni custodite sul PC o sul cellulare.
  • Browser Hijacking: Ovvero il dirottamento del browser. Alcuni siti contengono delle applet o degli script che modificano le impostazioni del browser dirottando la navigazione verso altri siti (ad esempio per aumentarne il numero di visite o per procurare al sito di destinazione un Denial Of Service). Questo tipo di minaccia espone l’utente e la rete dalla quale lo stesso si collega, in assenza di idonee contromisure, alla navigazione su siti illegali o “sconvenienti”. Molto simile negli effetti è il Page Hijacking nel quale alcune pagine web di siti molto visitati vengono replicate e registrate nei vari motori di ricerca affinché gli utenti vengano dirottati su questi siti fake nel momento in cui eseguono le ricerche. Il Page Hijacking può essere utilizzato per realizzare il Phishing, ad es. presentando ad un utente la stessa pagina di autenticazione ad un servizio ed invitandolo quindi ad inserire le proprie credenziali di accesso allo stesso.
  • Defacing:  è un attacco che si concretizza nella modifica dell’aspetto della homepage e/o delle pagine accessibili ai visitatori. Il defacing, come nel caso del sito dell’Aeronautica, citato all’inizio dell’articolo, è generalmente finalizzato a propagandare un messaggio avverso all’organizzazione che lo subisce con conseguente danno d’immagine e cattiva percezione del livello di sicurezza implementato dall’azienda vittima dell’attacco (oltre all’indisponibilità dei contenuti pubblicati per mezzo del servizio Web).
  • DoS (Denial of Service). Rientrano in questa categoria le tipologie di attacco mirate a rendere indisponibile un determinato servizio. Nella versione più articolata, l’attacco prende il nome di Distribuited Denial of Service (DDoS) poiché proveniente da diversi indirizzi di rete (solitamente delle macchine ponte o “zombie”) che rendono più difficile la rilevazione dell’azione in fase di preparazione. Un DoS o DDoS è l’effetto di azioni mirate a sovraccaricare le macchine o a saturare la banda
  • Identity Theft:  Furto di identità. E’ realizzato da un utente malevolo che essendo entrato in possesso delle credenziali di autenticazione dell’utente legittimo le riutilizza illecitamente. Il phishing, descritto più avanti, è un tipico metodo utilizzato per rubare le credenziali ad un utente legittimo.
  • Information Theft: Furto di informazioni riservate (nell’accezione più generica, si dovrebbe parlare di Information Assets) . Il social engineering, particolarmente pericoloso per le organizzazioni con molti impiegati, è una delle pratiche attraverso la quale è possibile, attraverso un approccio strutturato in varie fasi, raggiungere l’obiettivo di impossessarsi di informazioni “mission critical”. E’ importante notare come le informazioni non siano necessariamente intese in “senso informatico” ma possano essere anche in versione cartacea (informazioni commerciali, il business plan di un’azienda, ecc.).
  • Malware: Software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il malware può consentire ad esempio, di prendere il controllo remoto della postazione al fine di rubare informazioni o navigare con l’identità di un altro utente.
  • Man in the Middle: Non è una vera e propria minaccia ma è un tipo di attacco tramite il quale un utente malevolo si inserisce nel mezzo della comunicazione tra utente legittimo e il servizio di destinazione al fine di catturare informazioni o credenziali dell’utente legittimo (Identity/Information Theft). L’attacco si basa sull’inganno: l’utente malevolo si presenta all’utente lecito come se fosse il servizio di destinazione e si presenta al server di destinazione come l’utente lecito (al quale ha sottratto le credenziali di autenticazione e altre informazioni) ottenendo l’accesso ai dati e alle informazioni dell’utente. Diversamente dallo sniffing questa tipologia di attacco è attiva in quanto richiede che l’utente malevolo si inserisca in mezzo alla conversazione e l’utente lecito inconsapevole accetti la comunicazione fasulla.
  • Pharming: E’ una evoluzione del Phishing con il quale viene viene molto spesso confuso. Consiste nel realizzare una pagina Web del tutto simile alla homepage di un sito già esistente verso la quale reindirizzare un utente. In questa maniera, l’utente ha la percezione di trovarsi su una pagina che è in realtà un clone dell’originale ed eseguendo una qualsiasi transazione (ad es. sul proprio conto di banking on-line) svelerà le proprie credenziali d’accesso. Si può accedere ad un sito clonato in molti modi. Ad esempio, mediante phishing o spear phishing, ma anche modificando le risposte dei Server DNS alle query di risoluzione degli indirizzi. Il pharming si può realizzare anche a partire da un malware installato sulla postazione dalla quale l’utente esegue il collegamento al sito clonato: in questo caso viene modificato il file host affinché il motore di ricerca indirizzi la transazione non verso il sito reale ma verso il clone.
  • Phishing: Attività malevola che utilizza una tecnica di ingegneria sociale, ed è utilizzata per ottenere l’accesso a informazioni personali o riservate con la finalità di furto di identità o di informazioni. Il phishing viene effettuato generalmente mediante l’utilizzo di falsi messaggi di posta elettronica, messaggi istantanei, o anche contatti telefonici, che spingono l’utente a rivelare dati personali, come credenziali di autenticazione, numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.
  • Ransomware: Minaccia della stessa tipologia del Malware. Nel caso specifico, il programma prende possesso di uno specifico file, o di una directory sul PC dell’utente, minacciando lo stesso (mediante un messaggio/finestra di pop-up) di cancellare la risorsa qualora non venga pagato un riscatto (ad es. con un bonifico, un trasferimento fondi con Paypal o Wester Union, ecc.).
  • Sniffing:  Consiste nell’ascoltare (o meglio analizzare) il traffico. In caso di traffico in chiaro, un utente in possesso di appositi strumenti software e hardware (facilmente reperibili sulla rete) è in grado di ricevere ed analizzare il traffico. Questo tipo di attacco è passivo in quanto l’”ascoltatore” non interagisce in alcun modo con la vittima. E’ utilizzato per reperire informazioni sensibili o confidenziali.
  • Spear phising: Variante del phishing normale (che si propaga nella rete mediante spam) ed utilizza mail “mirate” verso una certa tipologia di utenti al fine di creare testi più attendibili inducendo i destinatari a rivelare credenziali, codici identificativi, numeri di carte di credito ecc. La pericolosità di questo agente di minaccia è legata al fatto che trattandosi di mail inviate a piccole organizzazioni, aziende o singoli domini, non vengono rilevate come spam e arrivano solitamente nella casella postale di destinazione. Oltretutto, essendo specificamente scritte per una certa tipologia di utente, contengono riferimenti ed informazioni che inducono i destinatari a fidarsi della fonte.
  • Spoofing: Rientrano in questa categoria le tipologie di attacco dedicate ad inserire in rete client aventi lo stesso indirizzo MAC e indirizzo IP di un client autenticato causando una disconnessione del client lecito e una connessione del client fasullo. Le conseguenze di un attacco di spoofing possono andare dall’indisponibilità del servizio sino al furto di identità nei casi più gravi.
  • Trashing: Consiste nella ricerca di informazioni d’interesse tra la spazzatura prodotta e smaltita nei pressi della sede di un’organizzazione. Molti impiegati prendono appunti, annotano password, indirizzi IP e altre informazioni su pezzi di carta che poi gettano nella spazzatura. Qualora non sia previsto un processo di eliminazione sicura di questi scarti è possibile essere oggetto di una vera e propria ricerca di informazioni che vengono smaltite nei cestini interni o nei cassonetti dell’immondizia situati nei pressi della sede. Ulteriore minaccia è costituita da quei dipendenti che trascrivono le informazioni su block notes personali o su pezzi di carta che portano a casa e smaltiscono con i rifiuti presso la propria abitazione. Qualora fossero individuati impiegati che scartano le cartacce in un cassonetto vicino la propria abitazione, si correrebbe il rischio di fornire ad utenti malevoli, username, password, credenziali varie, in grado di compromettere la sicurezza e l’immagine dell’organizzazione. Il Trashing è quindi una tecnica per realizzare l’Information Theft.
  • Virus:  Termine generico con il quale si identifica tutta una famiglia di programmi che creano copie di se stessi diffondendosi nella rete in vari modi generalmente all’insaputa dell’utente.
  • Vishing: E’ una forma di phishing che sfrutta il social engineering e prende di mira il VoIP, per ottenere informazioni personali e credenziali mediante messaggi vocali automatici.