sicurezza

Attacchi noti

   In questo breve articolo è realizzata, in sintesi,  una classificazione di attacchi ai sistemi di rete.

Oltre a registrare moltissime nuove tecniche di attacco, sempre più moderne, vanno nascendo con maggiore frequenza da un lato sistemi operativi sempre più sicuri, software più accurati alle difese delle reti informatiche ma anche sistemi per prevenire gli attacchi e naturalmente organizzazioni  che hanno formato gruppi di esperti per lo studio dei problemi inerenti alla sicurezza nella rete. Essi aiutano ad evitare possibili intrusioni (detection) e guidano il recupero (recovery) dei dati dopo una eventuale violazione subita.

Un'organizzazioni tra le più attive e presenti in rete è sicuramente il CERT (Computer Emergency Response Team) : http://www.cert.org/

E' stato formato nel dicembre del 1988 dalla DARPA con lo scopo di garantire la sicurezza in Internet. Permette di conferire immediatamente con esperti al fine di determinare la diagnosi e la soluzione del problema. 
    Reperibile 24 ore su 24 al numero (412)268-7090, il CERT spedisce documenti sulla sicurezza presso la CERT-ADVISORY mailing list e mantiene un sito web con un grande archivio (accessibile anche tramite protocollo ftp) contenente tutti gli attacchi rilevati nel corso degli anni. 

Naturalmente se si verificano attacchi, spam, o violazioni di tipo informatico è sempre possibile rivolgersi alla Polizia Postale, la sezione specializzata in ogni tipo di violazione informatica.

Ogni documento  del CERT è organizzato in questo modo

• Breve descrizione dell'attacco.
• Sistemi operativi o applicativi soggetti e vulnerabilità sfruttata dall'attacco.
• Tipo di compromissione che l'attacco può portare. 
• Contromisure possibili (preventive).
• Misure di recovery in caso di attacco subito di questo tipo.

E' bene che ogni amministratore di rete periodicamente consulti le nuove comunicazioni e nuovi attacchi scoperti, che potrebbero riguardare da vicino la propria rete. 
Altri siti sui cui trovare informazioni relative ad attacchi: 

1. sito : http://www.rootshell.com/
2. sito : http://www.insecure.org/
3. Australian Computer Emergency Response Team (AUSCERT): al sito  http://www.auscert.org.au/.
4. Computer Incident Advisory Capability (CIAC) al sito : http://ciac.llnl.gov/
5. Defense Information Agency Center for Automated System Security Incident Support Team (ASSIST) al sito: http://www.assist.mil/

tratto da: Le Reti Informatiche Roberto.Alfieri@fis.unipr.it Ultima modifica: 28/8/2003  

Diversi tipi di attacco sono caratterizzati da:

    +Virus

    +Worms

Alcune tecniche di scanning (sia host che port scanning), consistono in metodi attuati per rilevare informazioni su host di una rete remota. Possono essere utilizzati da un curioso o un malintenzionato per conoscere relativamente ad un host il suo indirizzo ip, se è attivo o meno, se alcune porte (e quindi determinati servizi conosciuti sono attivi) sono aperte ...
    Le seguenti tecniche di scanning sono utilizzate in molti tool esistenti. In particolare si possono trovare maggiori dettagli per molte di quelle qui descritte nella main page di "Nmap free security scanner" un tool per port scanning implementato da Fyodor reperibile al sito http://www.insecure.org/nmap/index.html
    Anche queste attività illecite sono rilevabili da un sistema di intrusion detection che utilizza il traffico di rete come fonte di informazione per rilevare intrusioni. Come abbiamo fatto per la sezione relativa alle vulnerabilità di rete, per alcune delle seguenti sono mostrati degli script di monitoring utilizzati dalla architettura proposta nella seconda parte (D-Nids) volta a rilevare lo scanning. Nella sezione "Esempi di codice in M language" sono presenti vari esempi.

• ICMP ping sweep – questo tipo di scan viene effettuato al solo scopo di verificare se un indirizzo IP corrisponde ad un host attivo e raggiungibile all'interno di una rete, per poter effettuare su queste future attività di probe. Se le macchine sono attive risponderanno con un pacchetto ICMP echo reply. Di solito, se il curioso utilizza un tool per compiere questa operazione, come nmap, il sito sotto attacco riceverà molteplici pacchetti in un breve lasso di tempo diretti a tutti gli host raggiungibili.

• ACK sweep – vengono mandati pacchetti ACK alla porta 80 (porta di default del servizio http): ricevere un  RST indicherà che la macchina è attiva.

• TCP connect() scan – il metodo più semplice per eseguire port scanning: viene utilizzato il comando connect( ) del sistema operativo per aprire una connessione con le porte di interesse. Se una generica porta è aperta (presenza di un servizio in ascolto su quella porta) la connect( ) avrà successo, altrimenti la porta sarà irraggiungibile. Il vantaggio di questo tipo di probing è che è alla portata di qualsiasi utente (non necessariamente root).

• TCP SYN scan – la tecnica è ben nota. In questo caso viene utilizzata però per evidenziare lo stato della porta. Inviato il pacchetto SYN, la ricezione di SYN/ACK evidenzia una porta in ascolto, mentre un RST evidenzia una porta chiusa. Se è ricevuto un SYN/ACK, viene immediatamente inviato un RST, in modo da non effettuare la connessione.

• UDP scan – utilizzato per determinare quali porte UDP sono aperte su una data macchina. La tecnica prevede di spedire pacchetti Udp da 0 byte ad ogni porta su una data macchina. Se viene spedita come risposta un pacchetto ICMP port unreachable, la porta è chiusa, altrimenti si può assumere che sia aperta. A volte scanning di questo tipo sono molto lenti . Il motivo è che molti OS implementano alcuni suggerimenti presenti in RFC 1812: limitare il numero di messaggi ICMP spediti in una unità di tempo [Il kernel Linux ad esempio non permette di spedire più di 80 messaggi ICMP destination unreachable in 4 secondi, Solaris non più di 2 messaggi per secondo. Windows invece non segue affatto questo tipo di accorgimenti e quindi è soggetta a UDP port scannings molto veloci !!
  Il comando "rpcinfo –p <nome_host>" interroga il portmapper nel computer indicato, ed elenca tutti i programmi RPC registrati presso lo stesso.]. I tools che effettuano port scanning che non vogliano rendere inutile l'analisi debbono rispettare questi “limiti di velocità” imposti.

• FTP proxy (bounce attack) – già evidenziato nella parte relativa alle vulnerabilità dei servizi di rete.

• Reverse ident scan – Il protocollo ident (specificato nell'RFC 1413) permette la scoperta del nome dell'utente proprietario di ogni processo connesso via TCP, anche se non è quel processo che ha avviato la connessione. Il demone identd che fornisce le informazioni relative all'utente residente sull'host per ogni connessione TCP attiva su quell'host, ascolta solitamente, se attivo, sulla porta 113 (auth). Un intruso potrebbe, dopo aver investigato le porte aperte, richiedere a identd informazioni per ogni porta aperta e connessione attivata, in modo da raccogliere informazioni sugli utenti.

• RPC scan – per tutte le porte UDP/TCP che sono state trovate da una precedente analisi aperte, vengono inviati dei pacchetti SunRPC NULL command, per determinare se sono porte RPC e in caso affermativo, quali applicazioni (e che versione) servono. Questo metodo può fornire le stesse informazioni date dal comando rpcinfo [Il comando "rpcinfo –p <nome_host>" interroga il portmapper nel computer indicato, ed elenca tutti i programmi RPC registrati presso lo stesso], anche se il portmapper è protetto dietro un firewall. 

• SYN-FIN, Xmas, Full Xmas, Null, FIN  scans, Nmap ping – a volte scanning che sfruttano i pacchetti SYN non portano a molti risultati per il curioso, dal momento che un router o un firewall potrebbero controllare (e quindi filtrare o loggare) l'arrivo di pacchetti SYN per porte riservate. Questo tipo di scan potrebbero avere maggior successo e passare il firewall ottenendo lo scopo. L'idea alla base di queste tecniche è la stessa: una porta chiusa deve inviare un RST quando riceve un probe di questo tipo, mentre una porta aperta la ignorerà. Questo comportamento, specificato dall'RFC 973, non è seguito da tutti i sistemi: Windows 95/NT non manda un reset qualora la porta sia chiusa; Cisco, IRIX ed altri mandano un reset anche qualora la porta sia aperta, quando invece dovrebbero solamente ignorare il pacchetto. Gli scan in questione si diversificano per il pacchetto che viene inviato alla generica porta. Sono tutti pacchetti di costruzione anomala :

  • SYN-FIN scan – invia un pacchetto con bit SYN e FIN contemporaneamente settati

  • FIN scan – invia un pacchetto FIN con il solo bit FIN settato.

  • Xmas  scan – invia un pacchetto con i flag FIN, URG, PSH settati.

  • NULL scan – invia un pacchetto con nessuno dei flag settato.

  • Full Xmas scan – invia un pacchetto con tutti i flag posti ad uno

  • Nmap TCP ping – invia un pacchetto ack con ack number uguale a zero.

  ---

   IL PROBLEMA DELLA SICUREZZA  

  Le violazioni della sicurezza dei calcolatori si possono classificare come intenzionali (abusi) o accidentali. Gli abusi avvengono prevalentemente attraverso le reti informatiche poichè il rischio è legato al numero di potenziali malintenzionati e la rete informatica espone il nostro computer a milioni di utenti. Gli abusi piu` frequenti sono: lettura/alterazione/distruzione non autorizzata di dati accesso non autorizzato a programmi e servizi impedimento del legittimo uso del sistema (DoS - Denial of Service) La realizzazione di un sistema che garantisca una assoluta protezione da abusi e` impossibile, ma e` possibile attivare meccanismi di sicurezza tali da scoraggiarne i tentativi. La politica di sicurezza e` quindi un compromesso, dettato dalle proprie necessita`, tra il costo per attivarla ed il beneficio ottenuto in termini di dissuasione.

  PROTEZIONE DEI SISTEMI TRAMITE PASSWORD  

  La tecnica principale di protezione dei sistemi di calcolo consiste nell`autenticazione degli utenti, ovvero nella loro identificazione al momento dell`accesso.   Il metodo di autenticazione piu` comunemente utilizzato (in modo locale o attraverso la rete) e` la password. La password consiste in un segreto (una sequenza di caratteri) condiviso tra utente e sistema. I sistemi di calcolo gesiscono un file che contiene la lista degli utenti riconosciuti con le relative password. L`accesso non autorizzato a questo file permetterebbe di violare le password di tuti gli utenti registrati; per questo motivo le password vengono generalmente registrate in modo cifrato. Il limite del meccanismo di autenticazione tramite password e` dato dalla sua vulnerabilita`: Password troppo semplici. La vulnerabilita` maggiore e` duvuta alla scelta di una password troppo semplice e quindi facile da indovinare. Esistono programmi che provano automaticamente ad indovinare la password basandosi sui dati personali e su dizionari. Password sniffing. Se l`accesso avviene tramite la rete e` possibile catturare la password installando un opportuno programma (sniffer) su di un calcolatore posto tra l`utente ed il servizio.

  VULNERABILITA' DEI PROGRAMMI E FIREWALL  

  Uno dei maggiori problemi di sicurezza e` dovuto all`installazione di programmi che, per errore di programmazione (Bug) o in modo voluto (Trap-Door), in certe sitauzioni consentono di aggirare i meccanismi di sicurezza previsti. Questo problema e` particolamente grave se il programma in questione e` un servizio di rete: la notizia relativa ad un problema su di un determinato servizio si diffonde rapidamente in internet assieme ai programmi necessari per violare i sistemi coinvolti. Capita frequentemente che installando un sistema Windows o Linux viene attivato un servizio di rete compromesso, esponendo inconsapevolente il sistema ad accessi non autorizzati. Generalmente i produttori di software forniscono rapidamente la versione corretta dal programma, ma in molti casi questa non viene installata o viene installata quando oramai il sistema e` compromesso. Il Firewall e` una tecnica molto diffusa per proteggere un intera LAN da attacchi ai servizi di rete. Il firewall e` un apparato di rete che viene interposto tra la LAN e internet, con il compito di “filtrare” gli ingressi provenienti da internet permettendo l`accesso solamente a determinati servizi di cui in qualche modo si e` verificata l`affidabilita`.

  pillitteri spin tuttisiti nino pillitteri cd cd rom, server nt reti linguaggio C++ cd audio marketing web design, http, servers, web promotion web advertising web training realizzazione siti internet creazione pagine web realizzazione siti negozio virtuale progettazione siti siti internet siti web creazione siti  realizzazione siti banner gratuiti aggiornamento siti business Internet promozione online news online, Internet marketing, web hosting web marketing realizzazioni multimediali multimedia multimediale presentazioni aziendali commercio elettronico e-commerce transazioni on line carrello consulenza gratuita cd-rom multimediali promozione siti registrazione domini reti aziendali intranet tuttisiti web pagine web realizzazione siti internetaziende online sito privato pubblicità, spazi online spazio web creazione pagine web realizzazione siti web web art vacanze taormina scenografia scenografica ping tracert winipcfg test finger talk rusers, rwho crittografia crittanalisi ftp servet nt 4.0 pittura rete arte design webmaster webdesign cd cd rom attacchi noti tipi di attacchi+Trojan horsesBombs Backdoors Trap doors Probing del sistema tecniche di scanning problema sicurezza protezione dei sistemi tramite password vulnerabilità dei programmi e firewall virus worms