Anatomia di un attacco hacker

By | 9 agosto 2010

Premessa: Come si dice prevenire è meglio che curare. Mi immagino già possibili commenti sul fatto di non saper niente dell’hacking e scriverci un’articolo, ecc… Quello che scrivo non proviene da una persona che fa o vuole o crede di essere un hacker! Ho profondo rispetto per questa arte, scienza (o come la volete chiamare) così complessa. Vorrei che il senso dell’articolo fosse inteso bene: cercare di soddisfare la curiosità di coloro che si sono posti la fatidica domanda “ma come si fa ad entrare dentro un computer?” spiegando brevemente e nel modo più semplice possibile in linea generale come avviene l’attacco da parte di un hacker.

Si possono individuare due fasi: riconoscimento e acquisizione dell’obiettivo e quella dell’attacco vero e proprio.
La fase del pre-attacco è costituita da 3 passi: footprinting, scanning, enumerazione.
Il footprinting consiste nell’ottenere più informazioni possibili sull’obiettivo, tracciare un profilo dell’infrastruttura, soprattutto dal punto di vista della sicurezza. Ciò è molto più dispendioso ed elaborato se il target ha una struttura complessa (ad esempio un computer/server di una rete aziendale) piuttosto che un normale pc casalingo connesso ad internet. Esistono due tipi di footprinting: quello passivo (l’obiettivo non ha avvisi/allarmi dell’attività svolta, es. ricerca di informazioni su internet quali ricerche Whois) e quello attivo (l’obiettivo può venire a conoscenza dell’attività svolta, come ad esempio social engineering).

Lo scanning è il passo attivo del tentativo di connettersi al sistema dell’obiettivo, ciò avviene appunto scansionando le porte dell’indirizzo IP target determinando quali servizi sono attivi (es. server web, ftp, ecc…), sistema operativo, ecc… Esistono vari tipi di tecniche di scansione che non starò qui ad elencare in quanto risulterebbero troppo “tecniche”.

Di pari passo allo scanning avviene anche l’enumerazione; il processo intrusivo per determinare account utente validi e risorse accessibili quali condivisioni.

Poi avviene l’attacco vero e proprio, qui possiamo individuare 4 fasi: accesso al sistema, scalata dei privilegi, mantenimento dell’accesso, copertura delle tracce e piazzamento backdoors.

L’accesso al sistema è la fase chiave, l’intrusore cerca di sfruttare le vulnerabilità tramite bug nel software/servizi installati nel sistema (questo processo è chiamato exploit).

Una volta ottenuto l’accesso al sistema, l’intrusore tenta la cosidetta scalata dei privilegi, ovvero ottenere il controllo completo del sistema rispetto a quello che può fare un normale utente, equivale ad ottenere diritti di amministratore.

Questa operazione è propedeutica alle fasi successive. Una volta che il sistema è definitivamente compromesso l’intrusore può fare di tutto, ad esempio installare rootkits e trojans (definiti backdoors) all’insaputa della vittima; ciò permette all’attacker di nascondere le tracce della sua attività, di mantenere nel tempo l’accesso al sistema ri-entrando nel pc della vittima in modo facile quando vuole.

Rispondi