Anatomia di un attacco hacker

Di | 9 agosto 2010

Si possono individuare due fasi: riconoscimento e acquisizione dell’obiettivo e quella dell’attacco vero e proprio.
La fase del pre-attacco è costituita da 3 passi: footprinting, scanning, enumerazione.
Il footprinting consiste nell’ottenere più informazioni possibili sull’obiettivo, tracciare un profilo dell’infrastruttura, soprattutto dal punto di vista della sicurezza. Ciò è molto più dispendioso ed elaborato se il target ha una struttura complessa (ad esempio un computer/server di una rete aziendale) piuttosto che un normale pc casalingo connesso ad internet. Esistono due tipi di footprinting: quello passivo (l’obiettivo non ha avvisi/allarmi dell’attività svolta, es. ricerca di informazioni su internet quali ricerche Whois) e quello attivo (l’obiettivo può venire a conoscenza dell’attività svolta, come ad esempio social engineering).

Lo scanning è il passo attivo del tentativo di connettersi al sistema dell’obiettivo, ciò avviene appunto scansionando le porte dell’indirizzo IP target determinando quali servizi sono attivi (es. server web, ftp, ecc…), sistema operativo, ecc… Esistono vari tipi di tecniche di scansione che non starò qui ad elencare in quanto risulterebbero troppo “tecniche”.

Di pari passo allo scanning avviene anche l’enumerazione; il processo intrusivo per determinare account utente validi e risorse accessibili quali condivisioni.

Poi avviene l’attacco vero e proprio, qui possiamo individuare 4 fasi: accesso al sistema, scalata dei privilegi, mantenimento dell’accesso, copertura delle tracce e piazzamento backdoors.

L’accesso al sistema è la fase chiave, l’intrusore cerca di sfruttare le vulnerabilità tramite bug nel software/servizi installati nel sistema (questo processo è chiamato exploit).

Una volta ottenuto l’accesso al sistema, l’intrusore tenta la cosidetta scalata dei privilegi, ovvero ottenere il controllo completo del sistema rispetto a quello che può fare un normale utente, equivale ad ottenere diritti di amministratore.

Questa operazione è propedeutica alle fasi successive. Una volta che il sistema è definitivamente compromesso l’intrusore può fare di tutto, ad esempio installare rootkits e trojans (definiti backdoors) all’insaputa della vittima; ciò permette all’attacker di nascondere le tracce della sua attività, di mantenere nel tempo l’accesso al sistema ri-entrando nel pc della vittima in modo facile quando vuole.

Rispondi