Un cyber attacco è qualunque tipo di azione offensiva che ha come obiettivo un computer, sistemi informatici, server o infrastrutture di rete, usando varie metodologie per sottrarre, modificare o distruggere dati o sistemi informatici.
Un attacco denial-of-service sovrasta le risorse di un sistema in modo che non possa rispondere alle richieste di servizio. Un attacco DDoS è anche un attacco alle risorse del sistema, ma è lanciato da un gran numero di altre macchine host che sono infettate da un software maligno controllato dall’attaccante.
A differenza degli attacchi che sono progettati per consentire all’attaccante di ottenere o aumentare l’accesso, il denial-of-service non fornisce benefici diretti agli attaccanti. Per alcuni di loro, è sufficiente avere la soddisfazione della negazione del servizio. Tuttavia, se la risorsa attaccata appartiene a un concorrente commerciale, allora il beneficio per l’attaccante può essere concreto. Un altro scopo di un attacco DoS può essere quello di portare un sistema offline in modo che un altro tipo di attacco possa essere lanciato. Un esempio comune è il session hijacking, che descriveremo più avanti.
Ci sono diversi tipi di attacchi DoS e DDoS; i più comuni sono l’attacco TCP SYN flood, l’attacco teardrop, l’attacco smurf, l’attacco ping-of-death e le botnet.
Attacco TCP SYN flood
In questo attacco, un attaccante sfrutta l’uso dello spazio buffer durante un handshake di inizializzazione della sessione del Transmission Control Protocol (TCP). Il dispositivo dell’attaccante inonda la piccola coda in-process del sistema di destinazione con richieste di connessione, ma non risponde quando il sistema di destinazione risponde a tali richieste. Questo fa sì che il sistema di destinazione vada in time out mentre aspetta la risposta dal dispositivo dell’attaccante, il che fa sì che il sistema si blocchi o diventi inutilizzabile quando la coda di connessione si riempie.
Ci sono alcune contromisure per un attacco TCP SYN flood:
Attacco Teardrop
Questo attacco fa sì che i campi di lunghezza e di offset di frammentazione nei pacchetti sequenziali Internet Protocol (IP) si sovrappongano l’uno all’altro sull’host attaccato; il sistema attaccato tenta di ricostruire i pacchetti durante il processo, ma non ci riesce. Il sistema bersaglio si confondo e si blocca.
Se non ci sono patch a disposizione per proteggersi da questo attacco DoS, disabilitate SMBv2 e bloccate le porte 139 e 445.
Attacco Smurf
Questo attacco comporta l’utilizzo di IP spoofing e ICMP per saturare una rete bersaglio con il traffico. Questo metodo di attacco utilizza richieste ICMP echo mirate a indirizzi IP broadcast. Queste richieste ICMP provengono da un indirizzo “vittima” spoofato. Per esempio, se l’indirizzo della vittima è 10.0.0.10, l’aggressore dovrebbe spoofare una richiesta ICMP echo da 10.0.0.10 all’indirizzo broadcast 10.255.255.255. Questa richiesta andrebbe a tutti gli IP nell’intervallo, con tutte le risposte che tornano al 10.0.0.10, intasando la rete. Questo processo è ripetibile, e può essere automatizzato per generare una forte congestione della rete.
Per proteggere i vostri dispositivi da questo attacco, è necessario disabilitare i broadcast diretti agli IP ai router. Questo impedirà che la richiesta di broadcast ICMP echo arrivi ai dispositivi di rete. Un’altra opzione sarebbe quella di configurare gli endpoint per impedire loro di rispondere ai pacchetti ICMP da indirizzi broadcast.
Attacco Ping of Death
Questo tipo di attacco utilizza pacchetti IP per pingare un sistema bersaglio con una dimensione IP superiore al massimo di 65.535 byte. I pacchetti IP di questa dimensione non sono consentiti, quindi l’attaccante frammenta il pacchetto IP. Una volta che il sistema di destinazione riassembla il pacchetto, si possono verificare buffer overflow e altri crash.
Gli attacchi di ping of death possono essere bloccati utilizzando un firewall che controlla la dimensione massima per i pacchetti IP frammentati.
Botnet
Le botnet sono i milioni di sistemi infettati con malware sotto il controllo degli hacker, utilizzate per effettuare attacchi DDoS. Questi bot o sistemi “zombie” vengono utilizzati per effettuare attacchi contro i sistemi di destinazione, spesso riempiendo la larghezza di banda e le capacità di elaborazione del sistema di destinazione. Questi attacchi DDoS sono difficili da tracciare perché le botnet si trovano in diverse località geografiche.
Le botnet possono essere mitigate da:
Un attacco MitM si verifica quando un hacker si inserisce tra le comunicazioni di un client e un server. Ecco alcuni tipi comuni di attacchi man-in-the-middle:
Dirottamento della sessione
In questo tipo di attacco MitM, un attaccante dirotta una sessione tra un client fidato e un server di rete. Il computer attaccante sostituisce il suo indirizzo IP con quello del client fidato, mentre il server continua la sessione, credendo di comunicare con il client. Ad esempio, l’attacco potrebbe svolgersi in questo modo:
IP Spoofing
L’IP spoofing è usato da un attaccante per convincere un sistema che sta comunicando con un’entità nota e fidata e fornisce quindi all’attaccante l’accesso al sistema. L’attaccante invia un pacchetto con l’indirizzo sorgente IP di un host noto e fidato invece del proprio indirizzo sorgente IP ad un host di destinazione. L’host di destinazione potrebbe accettare il pacchetto e agire di conseguenza, concedendo l’accesso.
Replay
Un attacco replay si verifica quando un attaccante intercetta e salva vecchi messaggi e poi cerca di inviarli in seguito, impersonando uno dei partecipanti. Questo tipo può essere facilmente contrastato con timestamp di sessione o un nonce (un numero casuale o una stringa che cambia nel tempo).
Attualmente, non esiste una singola tecnologia o configurazione per prevenire tutti gli attacchi MitM. In generale, la crittografia e i certificati digitali forniscono un’efficace salvaguardia contro gli attacchi MitM, assicurando sia la riservatezza che l’integrità delle comunicazioni. Ma un attacco man-in-the-middle può anche essere iniettato nel mezzo delle comunicazioni in modo tale che nemmeno la crittografia può aiutare – per esempio, l’attaccante “A” intercetta la chiave pubblica della persona “P” e la sostituisce con la propria chiave pubblica. Quindi, chiunque voglia inviare un messaggio criptato a P usando la chiave pubblica di P sta inconsapevolmente usando la chiave pubblica di A. Pertanto, A può leggere il messaggio destinato a P e poi inviare il messaggio a P, criptato con la vera chiave pubblica di P, e P non noterà mai che il messaggio è stato compromesso. Inoltre, A potrebbe anche modificare il messaggio prima di reinviarlo a P. Come potete vedere, P sta usando la crittografia e pensa che le sue informazioni siano protette ma non lo sono, a causa dell’attacco MitM.
Quindi, come si può essere sicuri che la chiave pubblica di P appartenga a P e non ad A? Le autorità di certificazione e le funzioni hash sono state create per risolvere questo problema. Quando la persona 2 (P2) vuole inviare un messaggio a P, e P vuole essere sicuro che A non leggerà o modificherà il messaggio e che il messaggio provenga effettivamente da P2, si deve usare il seguente metodo:
L’attacco di phishing è la pratica di inviare e-mail che sembrano provenire da fonti affidabili con l’obiettivo di ottenere informazioni personali o influenzare gli utenti a fare qualcosa. Combina l’ingegneria sociale e l’inganno tecnico. Potrebbe concretizzarsi in un allegato a un’email che carica un malware sul tuo computer. Potrebbe anche essere un link a un sito web illegittimo che può indurti a scaricare malware o a sottrarti le tue informazioni personali.
Lo spear phishing è un tipo di attività di phishing molto mirata. Gli aggressori si prendono del tempo per condurre ricerche sugli obiettivi e creare messaggi che siano personali e rilevanti. Per questo motivo, lo spear phishing può essere molto difficile da identificare ed è ancora più difficile proteggersi. Uno dei modi più semplici in cui un hacker può condurre un attacco di spear phishing è l’email spoofing, che avviene quando l’informazione nella sezione “Da” dell’email è falsificata, facendola sembrare come se provenisse da qualcuno che conosci, come il tuo management o un’azienda partner. Un’altra tecnica che i truffatori usano per aggiungere credibilità alla loro storia è la clonazione di siti web – copiano siti web legittimi per ingannarti e farti inserire informazioni di identificazione personale (PII) o credenziali di accesso.
Per ridurre il rischio di essere vittima di phishing, puoi usare queste tecniche:
Gli attacchi drive-by download sono un metodo comune di diffusione del malware. Gli hacker cercano siti web insicuri e inseriscono uno script dannoso nel codice HTML o PHP di una delle pagine. Questo script potrebbe installare malware direttamente sul computer di qualcuno che visita il sito, o potrebbe reindirizzare la vittima a un sito controllato dagli hacker. I download drive-by possono avvenire quando si visita un sito web o si visualizza un messaggio e-mail o una finestra pop-up. A differenza di molti altri tipi di attacchi alla sicurezza informatica, un drive-by non si basa sul fatto che l’utente faccia qualcosa per attivare attivamente l’attacco – non è necessario cliccare su un pulsante di download o aprire un allegato e-mail dannoso per essere infettati. Un download drive-by può sfruttare un’app, un sistema operativo o un browser web che contiene falle di sicurezza dovute ad aggiornamenti non riusciti o alla mancanza di aggiornamenti.
Per proteggersi dagli attacchi drive-by, è necessario mantenere aggiornati i browser e i sistemi operativi ed evitare i siti web che potrebbero contenere codice dannoso. Attieniti ai siti che usi normalmente – ma tieni presente che anche questi siti possono essere violati. Non tenere troppi programmi e app inutili sul tuo dispositivo. Più plug-in hai, più vulnerabilità ci sono che possono essere sfruttate da attacchi drive-by.
Poiché le password sono il meccanismo più comunemente usato per autenticare gli utenti a un sistema informatico, ottenere le password è un approccio di attacco comune ed efficace. L’accesso alla password di una persona può essere ottenuto guardando intorno alla scrivania della persona, ”sniffando” la connessione alla rete per acquisire password non criptate, usando l’ingegneria sociale, ottenendo l’accesso a un database di password o indovinandola direttamente. L’ultimo approccio può essere fatto in modo casuale o sistematico:
Per proteggersi dagli attacchi con dizionario o a forza bruta, è necessario implementare una politica di blocco dell’account che bloccherà l’account dopo alcuni tentativi di password non validi.
L’injection SQL è diventata un problema comune con i siti web basati su database. Si verifica quando un malfattore esegue una query SQL al database attraverso i dati di input dal client al server. I comandi SQL sono inseriti nell’input del piano dati (per esempio, al posto del login o della password) per eseguire comandi SQL predefiniti. Un exploit SQL injection riuscito può leggere dati sensibili dal database, modificare (inserire, aggiornare o cancellare) i dati del database, eseguire operazioni di amministrazione (come lo spegnimento) sul database, recuperare il contenuto di un dato file e, in alcuni casi, emettere comandi sul sistema operativo.
Per esempio, un modulo web su un sito web potrebbe richiedere il nome dell’account di un utente e poi inviarlo al database per estrarre le informazioni dell’account associato usando l’SQL dinamico come questo:
“SELECT * FROM users WHERE account = ‘“ + userProvidedAccountNumber +”’;”
Quando questo attacco funziona, perché viene indovinato l’ID dell’account,, lascia un buco per gli attaccanti. Per esempio, se qualcuno decidesse di fornire un ID account “‘ or ‘1’ = ‘1’”, questo risulterebbe in una stringa:
“SELECT * FROM users WHERE account = ‘’ or ‘1’ = ‘1’;”
Poiché ‘1‘ = ‘1‘ è sempre TRUE, il database restituirà i dati per tutti gli utenti invece di un solo utente.
La vulnerabilità a questo tipo di attacco di sicurezza informatica dipende dal fatto che SQL non verifica chi possa avere i permessi o meno. Pertanto, le iniezioni SQL funzionano soprattutto se un sito web utilizza SQL dinamico. Inoltre, l’iniezione SQL è molto comune con le applicazioni PHP e ASP a causa della prevalenza di vecchi sistemi. Le applicazioni J2EE e ASP.NET hanno meno probabilità di ricevere injection SQL sfruttabili a causa della natura delle interfacce di programmazione disponibili.
Per proteggervi da un attacco di SQL injection, applicate il modello least0privilege dei permessi nei vostri database. Attenetevi alle stored procedure (assicuratevi che queste procedure non includano alcun SQL dinamico) e alle istruzioni preparate precedentemente (query parametrizzate). Il codice che viene eseguito verso il database deve essere abbastanza forte da prevenire attacchi di tipo injection. Inoltre, convalidare i dati di input in funzione di una whitelist a livello di applicazione.
Gli attacchi XSS utilizzano risorse web di terze parti per eseguire script nel browser web o nell’applicazione web della vittima. In particolare, l’attaccante inietta un payload con JavaScript dannoso nel database di un sito web. Quando la vittima richiede una pagina dal sito web, il sito web trasmette la pagina, con il payload dell’attaccante come parte del corpo HTML, al browser della vittima, che esegue lo script dannoso. Per esempio, potrebbe inviare il cookie della vittima al server dell’attaccante, e l’attaccante può estrarlo e usarlo per il session hijacking. Le conseguenze più pericolose si verificano quando XSS viene utilizzato per sfruttare ulteriori vulnerabilità. Queste vulnerabilità possono permettere ad un attaccante non solo di rubare i cookie, ma anche di registrare le battute di tasti, catturare screenshot, scoprire e raccogliere informazioni di rete, e accedere e controllare in remoto la macchina della vittima.
Anche se gli XSS possono essere inseriti all’interno di VBScript, ActiveX e Flash, il più ampiamente abusato è JavaScript – principalmente perché JavaScript è ampiamente supportato sul web.
Per difendersi dagli attacchi XSS, gli sviluppatori possono sanitizzare i dati inseriti dagli utenti in una richiesta HTTP prima di restituirli. Assicuratevi che tutti i dati siano convalidati o filtrati prima di restituire qualcosa all’utente, come i valori dei parametri della query durante le ricerche. Convertire i caratteri speciali come ?, &, /, <, > e gli spazi nei loro rispettivi equivalenti codificati in HTML. Date agli utenti la possibilità di disabilitare gli script lato client.
Gli attacchi di eavesdropping si verificano attraverso l’intercettazione del traffico di rete. Con l’eavesdropping, un attaccante può ottenere password, numeri di carte di credito e altre informazioni riservate che un utente potrebbe inviare in rete. L’eavesdropping può essere passivo o attivo:
Rilevare gli attacchi di intercettazione passiva è spesso più importante che individuare quelli attivi, poiché gli attacchi attivi richiedono che l’attaccante acquisisca la conoscenza degli endpoint amici conducendo prima l’intercettazione passiva.
La crittografia dei dati è la migliore contromisura per le intercettazioni.
Gli attacchi di tipo “birthday” sono fatti contro gli algoritmi di hash che sono usati per verificare l’integrità di un messaggio, un software o una firma digitale. Un messaggio processato da una funzione di hash produce un message digest (MD) di lunghezza fissa, indipendente dalla lunghezza del messaggio di input; questo MD caratterizza in modo univoco il messaggio. L’attacco di tipo “birthday” si riferisce alla probabilità di trovare due messaggi casuali che generano lo stesso MD quando vengono elaborati da una funzione hash. Se un attaccante calcola per il suo messaggio lo stesso MD dell’utente, può tranquillamente sostituire il messaggio dell’utente con il suo, e il ricevitore non sarà in grado di rilevare la sostituzione anche se confronta gli MD.
Il malware può essere descritto come un software indesiderato che viene installato nel vostro sistema senza il vostro consenso. Può attaccarsi al codice legittimo e propagarsi; può annidarsi in applicazioni utili o replicarsi attraverso Internet. Ecco alcuni dei tipi più comuni di malware:
Per riuscire a difenderci, dobbiamo conoscere bene gli attacchi. In questo articolo abbiamo esaminato i 10 attacchi più comuni di sicurezza informatica che gli hacker utilizzano per bloccare e compromettere i sistemi informatici. Come puoi vedere, gli aggressori hanno molte opzioni, come gli attacchi DDoS, l’infezione da malware, l’intercettazione man-in-the-middle e indovinare le password con la modalità brute-force, per cercare di ottenere un accesso non autorizzato alle infrastrutture critiche e ai dati sensibili.
Le misure per mitigare queste minacce variano, ma le basi della sicurezza rimangono le stesse: mantenete aggiornati i vostri sistemi e utilizzate sistemi di protezione endpoint di nuova generazione, formate i vostri dipendenti, configurate il vostro firewall per mettere in whitelist solo le porte e gli host specifici di cui avete bisogno, mantenete forti le vostre password, usate un modello di minimo privilegio nel vostro ambiente IT, fate backup regolari, prevedete un sistema di disaster recovery e controllate continuamente i vostri sistemi IT alla ricerca di eventuali attività sospette.
Fonte: Netwrix
Per approfondire l’argomento e capire quali azioni mettere in atto concretamente per alzare il livello di sicurezza della tua infrastruttura informatica scarica il T – book Security Edition. All’interno troverai un focus dedicato all’MFA (MultiFactor Authentication) un metodo di autenticazione a più fattori che rappresenta un passo in avanti nel processo di difesa della rete aziendale.
Compila il form qui sotto e scarica subito il T-Book Security Edition.