Quando si parla di cyber threat si è sommersi soprattutto da informazioni sui malware e sul phishing, che tramite il social engineering, porta gli utenti ad accedere a siti web veri o fasulli da cui vengono scaricati trojan, virus, ransomware, spyware o effettuati direttamente furti di identità. Sono però da tenere in considerazione anche le minacce che puntano sui network – fissi e wireless – per ottenere credenziali di accesso a risorse informatiche e applicazioni, effettuare operazioni fraudolente e compiere azioni di sabotaggio o spionaggio. Questi attacchi informatici si dividono in attivi e passivi.
Cosa sono gli attacchi informatici attivi
Negli attacchi attivi, l’hacker accede a una rete e ai sistemi target connessi ad essa utilizzando delle credenziali rubate. Il principale attacco informatico di questo tipo è il masquerade attack, in cui l’attaccante assume l’identità di un utente autorizzato e utilizza i privilegi di quest’ultimo per effettuare operazioni su un host o un sito web target. L’hacker può anche ricercare eventuali vulnerabilità sul sistema penetrato e sfruttarle per acquisire ulteriori privilegi.
Fra i principali attacchi informativi attivi vi è anche quello che prevede, da parte dell’attaccante, l’uso dell’identità rubata a un utente legittimo, è il session replay. Questa tecnica sfrutta l’intercettazione delle session ID, numeri unici che i server web assegnano agli utenti per tutta la durata delle sessioni di navigazione. Sovente, le session ID non cambiano se gli utenti chiudono le pagine dei siti ma non il browser. Nel frattempo, gli hacker possono sfruttare le session ID per sostituirsi ai legittimi proprietari.
Altri attacchi attivi sono la message modification, il Denial of service (DoS) e il Distributed Denial of Service (DDoS). Nel primo caso, l’attaccante riesce a modificare gli header dei pacchetti di dati per deviare le comunicazioni verso destinatari diversi da quelli previsti. Nel secondo caso, l’hacker inonda un host o un sito di richieste superiori a quelle che è in grado di gestire, rendendolo inaccessibile ad altri utenti o mettendolo fuori uso. Nel terzo vengono utilizzati, per gli stessi obiettivi, più sistemi distribuiti (botnet).
Cosa sono gli attacchi informatici passivi
Gli attacchi passivi sono quelli in cui l’hacker si limita a intercettare i traffici di dati che avvengono su una rete e sono spesso propedeutici ad attacchi attivi.
Fra i principali attacchi informativi passivi si segnalano l’active reconnaissance e la passive reconnaissance. Nel primo caso, l’intruso interagisce con la rete utilizzando tool di port scanning per individuare eventuali porte vulnerabili. Nella passive reconnaissance si ricercano vulnerabilità solo con l’analisi di traffici di dati intercettati con metodi quali la session capture, che consente di raccogliere enormi moli di dati grezzi.
Sono passive attack anche il war driving e il dumpster diving. Il primo consiste nel percorrere in auto le città alla ricerca di reti Wi-Fi aperte o che non utilizzano la crittografia WEP (Wired Equivalent Privacy). Un esempio di dumpster diving è la ricerca di computer dismessi dai cui hard disk ricavare informazioni quali reti utilizzate, indirizzi IP, siti visitati, cookies, ID e password.
Differenze tra i principali attacchi informatici
Le differenze tra gli attacchi informatici attivi e passivi possono emergere dagli esempi. Gli attacchi attivi sono quelli che implicano la manomissione di dati, mentre gli attacchi passivi consistono in attività di intelligence. Poiché non effettuano alterazioni di dati e di configurazioni sui target, i passive attack sono molto più difficili da individuare. Gli attacchi attivi possono essere contrastati con firewall, intrusion detection system (IDS), intrusion prevention system (IPS), sistemi di security information and event management (SIEM), buone solutioni di identity & access management (IAM) e la crittografia. Contro gli attacchi passivi è fondamentale soprattutto la prevenzione, sia tecnologica (come l’encryption) sia culturale (che consideri anche le prassi di “sanitizzazione” delle tecnologie dismesse). Molto utili anche i test da parte di ethical hacker, fra i più esperti utilizzatori di tecniche di passive attack.
La security è una delle tematiche (all’interno della categoria Soluzioni Infrastrutturali) che verrà trattata nei Digital360 Awards 2020. [Candida il tuo progetto]
