Il 26 gennaio 2007, รจ iniziata a trapelare la notizia di un defacement ai danni del portale Web dell’Aeronautica Militare (http://www.aeronautica.difesa.it). A quanto pare, un hacker turco, ha sfruttato una SQL Injection per condurre un XSS defacement, ovvero ha iniettato del codice Javascript all’interno della homepage reindirizzando i visitatori ad un sito web esterno contenente un messaggio pacifista. Il defacement รจ solo una delle centinaia di minacce informatiche che possono mettere a repentaglio la sicurezza delle informazioni di una organizzazione. Di seguito fornirรฒ una breve descrizione di alcune delle principali minacce, utile alla comprensione dell’entitร di alcuni attacchi condotti a Forze Armate, Industrie, Istituzioni ecc.
- Backdoor:ย Letteralmente, “porta posteriore”. Si tratta di un software che viene utilizzato da remoto per accedere ad una macchina ed eseguire modifiche a file, inviare mail di spam, accedere a siti Internet. Eโ una tipologia di minaccia molto diffusa, che puรฒ manifestarsi sotto forma di un allegato di posta o tramite software accidentalmente installato sul computer semplicemente cliccando su un link presente nel testo di in una mail. Un utente potrebbe non accorgersi della presenza di questa tipologia di software poichรฉ lo stesso viene avviato automaticamente al boot della macchina consentendo lโesecuzione di attivitร malevola in presenza di connettivitร su rete pubblica.
- Bluejacking e Bluesnarfing:ย Minacce che si concretizzano in presenza di PC o dispositivi dotati di interfaccia Bluetooth (BT). In particolare, si riceve un messaggio da un altro dispositivo tramite il BT.ย Pensando di visualizzare un biglietto da visita o un messaggio multimediale si installa in realtร un programma in grado di trasferire ad altri dispositivi nelle vicinanze, informazioni custodite sul PC o sul cellulare.
- Browser Hijacking: Ovvero il dirottamento del browser. Alcuni siti contengono delle applet o degli script che modificano le impostazioni del browser dirottando la navigazione verso altri siti (ad esempio per aumentarne il numero di visite o per procurare al sito di destinazione un Denial Of Service). Questo tipo di minaccia espone lโutente e la rete dalla quale lo stesso si collega, in assenza di idonee contromisure, alla navigazione su siti illegali o โsconvenientiโ. Molto simile negli effetti รจ il Page Hijacking nel quale alcune pagine web di siti molto visitati vengono replicate e registrate nei vari motori di ricerca affinchรฉ gli utenti vengano dirottati su questi siti fake nel momento in cui eseguono le ricerche. Il Page Hijacking puรฒ essere utilizzato per realizzare il Phishing, ad es. presentando ad un utente la stessa pagina di autenticazione ad un servizio ed invitandolo quindi ad inserire le proprie credenziali di accesso allo stesso.
- Defacing:ย รจ un attacco che si concretizza nella modifica dellโaspetto della homepage e/o delle pagine accessibili ai visitatori. Il defacing, come nel caso del sito dell’Aeronautica, citato all’inizio dell’articolo, รจ generalmente finalizzato a propagandare un messaggio avverso all’organizzazione che lo subisce con conseguente danno dโimmagine e cattiva percezione del livello di sicurezza implementato dallโazienda vittima dellโattacco (oltre allโindisponibilitร dei contenuti pubblicati per mezzo del servizio Web).
- DoS (Denial of Service). Rientrano in questa categoria le tipologie di attacco mirate a rendere indisponibile un determinato servizio. Nella versione piรน articolata, lโattacco prende il nome di Distribuited Denial of Service (DDoS) poichรฉ proveniente da diversi indirizzi di rete (solitamente delle macchine ponte o “zombie”) che rendono piรน difficile la rilevazione dellโazione in fase di preparazione. Un DoS o DDoS รจ l’effetto di azioni mirate a sovraccaricare le macchine o a saturare la banda
- Identity Theft:ย Furto di identitร . E’ realizzato da un utente malevolo che essendo entrato in possesso delle credenziali di autenticazione dellโutente legittimo le riutilizza illecitamente. Il phishing, descritto piรน avanti, รจ un tipico metodo utilizzato per rubare le credenziali ad un utente legittimo.
- Information Theft: Furto di informazioni riservate (nell’accezione piรน generica, si dovrebbe parlare di Information Assets) . Il social engineering, particolarmente pericoloso per le organizzazioni con molti impiegati, รจ una delle pratiche attraverso la quale รจ possibile, attraverso un approccio strutturato in varie fasi, raggiungere lโobiettivo di impossessarsi di informazioni “mission critical”. E’ importante notare come le informazioni non siano necessariamente intese in “senso informatico” ma possano essere anche in versione cartacea (informazioni commerciali, il business plan di un’azienda, ecc.).
- Malware: Software creato con il solo scopo di causare danni piรน o meno gravi al computer su cui viene eseguito. Il malware puรฒ consentire ad esempio, di prendere il controllo remoto della postazione al fine di rubare informazioni o navigare con lโidentitร di un altro utente.
- Man in the Middle: Non รจ una vera e propria minaccia ma รจ un tipo di attacco tramite il quale un utente malevolo si inserisce nel mezzo della comunicazione tra utente legittimo e il servizio di destinazione al fine di catturare informazioni o credenziali dell’utente legittimo (Identity/Information Theft). Lโattacco si basa sullโinganno: lโutente malevolo si presenta allโutente lecito come se fosse il servizio di destinazione e si presenta al server di destinazione come lโutente lecito (al quale ha sottratto le credenziali di autenticazione e altre informazioni) ottenendo l’accesso ai dati e alle informazioni dellโutente. Diversamente dallo sniffing questa tipologia di attacco รจ attiva in quanto richiede che lโutente malevolo si inserisca in mezzo alla conversazione e lโutente lecito inconsapevole accetti la comunicazione fasulla.
- Pharming: E’ una evoluzione del Phishing con il quale viene viene molto spesso confuso. Consiste nel realizzare una pagina Web del tutto simile alla homepage di un sito giร esistente verso la quale reindirizzare un utente. In questa maniera, lโutente ha la percezione di trovarsi su una pagina che รจ in realtร un clone dellโoriginale ed eseguendo una qualsiasi transazione (ad es. sul proprio conto di banking on-line) svelerร le proprie credenziali dโaccesso. Si puรฒ accedere ad un sito clonato in molti modi. Ad esempio, mediante phishing o spear phishing, ma anche modificando le risposte dei Server DNS alle query di risoluzione degli indirizzi. Il pharming si puรฒ realizzare anche a partire da un malware installato sulla postazione dalla quale lโutente esegue il collegamento al sito clonato: in questo caso viene modificato il file host affinchรฉ il motore di ricerca indirizzi la transazione non verso il sito reale ma verso il clone.
- Phishing: Attivitร malevola che utilizza una tecnica di ingegneria sociale, ed รจ utilizzata per ottenere l’accesso a informazioni personali o riservate con la finalitร di furto di identitร o di informazioni. Il phishing viene effettuato generalmente mediante l’utilizzo di falsi messaggi di posta elettronica, messaggi istantanei, o anche contatti telefonici, che spingono lโutente a rivelare dati personali, come credenziali di autenticazione, numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.
- Ransomware: Minaccia della stessa tipologia del Malware. Nel caso specifico, il programma prende possesso di uno specifico file, o di una directory sul PC dellโutente, minacciando lo stesso (mediante un messaggio/finestra di pop-up) di cancellare la risorsa qualora non venga pagato un riscatto (ad es. con un bonifico, un trasferimento fondi con Paypal o Wester Union, ecc.).
- Sniffing:ย Consiste nell’ascoltare (o meglio analizzare) il traffico. In caso di traffico in chiaro, un utente in possesso di appositi strumenti software e hardware (facilmente reperibili sulla rete) รจ in grado di ricevere ed analizzare il traffico. Questo tipo di attacco รจ passivo in quanto lโ”ascoltatore” non interagisce in alcun modo con la vittima. E’ utilizzato per reperire informazioni sensibili o confidenziali.
- Spear phising: Variante del phishing normale (che si propaga nella rete mediante spam) ed utilizza mail โmirateโ verso una certa tipologia di utenti al fine di creare testi piรน attendibili inducendo i destinatari a rivelare credenziali, codici identificativi, numeri di carte di credito ecc. La pericolositร di questo agente di minaccia รจ legata al fatto che trattandosi di mail inviate a piccole organizzazioni, aziende o singoli domini, non vengono rilevate come spam e arrivano solitamente nella casella postale di destinazione. Oltretutto, essendo specificamente scritte per una certa tipologia di utente, contengono riferimenti ed informazioni che inducono i destinatari a fidarsi della fonte.
- Spoofing: Rientrano in questa categoria le tipologie di attacco dedicate ad inserire in rete client aventi lo stesso indirizzo MAC e indirizzo IP di un client autenticato causando una disconnessione del client lecito e una connessione del client fasullo. Le conseguenze di un attacco di spoofing possono andare dallโindisponibilitร del servizio sino al furto di identitร nei casi piรน gravi.
- Trashing: Consiste nella ricerca di informazioni d’interesse tra la spazzatura prodotta e smaltita nei pressi della sede di un’organizzazione. Molti impiegati prendono appunti, annotano password, indirizzi IP e altre informazioni su pezzi di carta che poi gettano nella spazzatura. Qualora non sia previsto un processo di eliminazione sicura di questi scarti รจ possibile essere oggetto di una vera e propria ricerca di informazioni che vengono smaltite nei cestini interni o nei cassonetti dellโimmondizia situati nei pressi della sede. Ulteriore minaccia รจ costituita da quei dipendenti che trascrivono le informazioni su block notes personali o su pezzi di carta che portano a casa e smaltiscono con i rifiuti presso la propria abitazione. Qualora fossero individuati impiegati che scartano le cartacce in un cassonetto vicino la propria abitazione, si correrebbe il rischio di fornire ad utenti malevoli, username, password, credenziali varie, in grado di compromettere la sicurezza e lโimmagine dell’organizzazione. Il Trashing รจ quindi una tecnica per realizzare l’Information Theft.
- Virus:ย Termine generico con il quale si identifica tutta una famiglia di programmi che creano copie di se stessi diffondendosi nella rete in vari modi generalmente all’insaputa dell’utente.
- Vishing: Eโ una forma di phishing che sfrutta il social engineering e prende di mira il VoIP, per ottenere informazioni personali e credenziali mediante messaggi vocali automatici.
