Tecniche di attacco

Quello che segue è un elenco delle principali tipologie di attacco, pur consapevoli del continuo diffondersi di nuove e più sofisticate metodologie:

- Advanced persistent threat (APT): con questa sigla si intendono attacchi coordinati e sofisticati che utilizzano svariati metodi di intrusione. Può essere intesa come una vera e propria strategia di attacco multilivello e multicanale, sferrato partendo dall'identificazione di un network aziendale che, una volta preso di mira, viene minato in vari modi e su più fronti. Per questo motivo, l’APT può coinvolgere varie tipologie di attacco che vanno dal social engineering (per individuare punti deboli dell’organizzazione) al port scanning della rete, dall’uso di exploit per installare malware fino al phishing mirato per compromettere le

~ 38 ~

postazioni di alcuni dipendenti specifici. L’ APT identifica il suo obiettivo, studia le sue vulnerabilità e le sfrutta per entrare nella rete e sottrarre ciò che cerca, di solito informazioni rivendibili.

Questo è uno dei metodi più utilizzati per gli attacchi a società molto grandi, poiché si concretizza in un attacco mirato al solo soggetto che solitamente ha dei file di valore per l’hacker creatore del virus.

- Denial of service (DOS: negazione del servizio): un malfunzionamento dovuto ad un attacco informatico il cui obiettivo primario è quello di interrompere i servizi di rete o web di un’azienda facendo esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client (come ad esempio un sito web su un web server) fino a renderlo non più in grado di erogare il servizio ai client richiedenti. Una variante di tale approccio è ilDDoS (Distributed Denial of Service), dal funzionamento identico, ma realizzato utilizzando numerose macchine attaccanti, che insieme costituiscono una botnet: gli attaccanti infettano preventivamente un numero elevato di computer con dei virus o worm, che lasciano aperte delle backdoor a loro riservate, in modo da avere a disposizione un numero sufficiente di computer per l'attacco. Questi computer che sono controllati dall'attaccante vengono chiamati zombie. Quando il numero di zombie è ritenuto adeguato, o quando viene a verificarsi una data condizione, i computer infetti si attivano e sommergono il server bersaglio di richieste di connessione.

- Drive-by download: questa tipologia di attacco può avvenire in due diverse maniere: nella prima si ha un download automatico, con conseguente installazione di un file malevolo, nel momento stesso in cui l’utente accede ad un sito, senza che sia quindi necessaria alcuna interazioni dell’utente stesso; nella seconda il download viene autorizzato direttamente dall’utente facendogli credere di scaricare un programma sicuro o una applicazione, che si rivela invece essere un malware. E’ quindi una tipologia di attacco che si può concretizzare nel momento in cui si visita un sito web, quando viene aperto un messaggio di posta elettronica oppure cliccata una finestra pop-up ingannevole.

~ 39 ~

- Malware: “malicious software”, ovvero software dannoso. Con questo termine viene indicato qualsiasi software utilizzato per interferire con le operazioni svolte da un computer al fine, ad esempio, di rubare informazioni sensibili, di accedere a sistemi informatici privati, di mostrare pubblicità indesiderata, di ottenere o addirittura distruggere dati etc. E’quindi un termine generico che fa riferimento a varie tipologie di software intrusivo o malevolo, come Virus, Worm, Trojan,

Ransomware, Spyware, ed altri programmi malevoli che, nella maggior parte dei

casi, si diffondono inserendosi all’interno dei file non malevoli. Il malware può essere creato con l'intento di arrecare danni ad un sistema informatico ad esempio tramite sabotaggio (e.g. Stuxnet), oppure tramite la criptazione dei dati del computer colpito allo scopo di estorcere denaro per la decriptazione (CryptoLocker); oltre a ciò, può essere inteso anche come un programma che è in grado di rubare di nascosto informazioni di vario tipo, quindi sia commerciali che private, senza essere rilevato dall'utente.

- Man in the middle: meno conosciuto ma molto diffuso, questa tipologia indica un attacco crittografico nel quale l’attaccante è in grado di leggere, inserire o modificare a piacere, messaggi tra due parti comunicanti tra di loro ignare del tutto.

- Password attack: questa è una tecnica di attacco alla sicurezza di un sistema o di un sottosistema informatico che mira a “rompere” un codice cifrato od un meccanismo di autenticazione, provando a decifrare il codice o a determinare la password cercando tra un gran numero di possibilità. Con questo attacco viene tentato l’accesso a dati protetti da password, come ad esempio account su siti web, server di posta o database server (quindi in remoto) o anche documenti ed archivi protetti da password (in locale), tramite una serie continuativa e sistematica di tentativi di inserimento della password effettuati in modo automatizzato e basato su uno o più dizionari.

~ 40 ~

- Phishing: questo tipo di attacco avviene durante la navigazione sul web: l’attaccante cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. Solitamente la tecnica utilizzata prevede un invio massivo di messaggi di posta elettronica o in alcuni casi di SMS, simili nell’aspetto e nel contenuto ai messaggi dei fornitori di servizi; questi messaggi fraudolenti richiedono poi informazioni riservate, come il numero della carta di credito, le password per accedere a un determinato servizio etc. Il rischio di phishing è ancora maggiore nei social media come Facebook e Twitter, poiché gli hacker potrebbero creare un clone del sito e chiedere all'utente di inserire le sue informazioni personali, traendo vantaggio dal fatto che questi siti vengono utilizzati sia a casa sia a lavoro o nei luoghi pubblici.

- Rogue: questo è in realtà una particolare categoria di malware, che finge di essere un programma noto o comunque non malevolo, esempio un antivirus, per poter rubare dati confidenziali o ricevere denaro.

- SQL injection: tecnica utilizzata per attaccare applicazioni di gestione dati. Consiste nell’inserimento di stringhe di codice SQL malevole all'interno di campi di input, in modo che queste vengano poi eseguite, ad esempio, per fare inviare il contenuto del database all'attaccante. L'SQL injection sfrutta le vulnerabilità di sicurezza del codice di un'applicazione, come ad esempio quando l'input dell'utente non è correttamente filtrato da 'caratteri di escape' contenuti nelle stringhe SQL oppure non è fortemente tipizzato e viene eseguito inaspettatamente. L'SQL injection è più conosciuto come attacco per i siti web, ma viene usato per attaccare qualsiasi tipo di database SQL, poiché permette agli attaccanti di modificare dati esistenti, causare l'annullamento di transazioni o la modifica dei bilanci, ottenere tutti i dati sul sistema, eliminare dati oppure fare in modo che non siano accessibili, e diventare quindi amministratori del database server.

~ 41 ~