In un precedente articolo a tema IT security abbiamo posto la nostra attenzione principalmente sulla parte sociale degli attacchi. Questa, pur essendo ampiamente preponderante, non è l’unica forma di minaccia ai sistemi informatici. Prendiamo ora in analisi alcune di quelle più diffuse.
Le principali tipologie di attacco nell’IT Security
Il primo tipo di attacco è noto come “man in the middle” che tradotto in italiano significa letteralmente “uomo nel mezzo”. Consiste in una interposizione di chi sta attuando la frode tra un punto di partenza e un punto di arrivo. Un esempio molto pratico è un utente che invia le credenziali via mail a un secondo utente e la persona fraudolenta che legge la mail non indirizzata a lui. A questo punto il truffatore ha pieno accesso a tutti i dati protetti da quella password.
Esistono molte versioni di questo attacco, alcune basate sulla lettura dei dati degli utenti eseguita in maniera analoga alla mail. Altri sfruttano falle di protezione per inserirsi in reti protette e ascoltare il traffico dati (“packet sniffing”) per carpire le informazioni.
Questa tipologia di attacco informatico è gradualmente diminuita nel tempo grazie alle crescenti misure di protezione. La comparsa di reti crittate sempre migliori (SSL ecc.) e l’avvento dell’uso di VPN hanno reso dura la vita a questo tipo di breach.
Una seconda tipologia di attacco informatico è il DDOS (distributed denial of service). Questo consiste nel generare un numero di connessioni estremamente elevato verso il bersaglio. Spesso vengono utilizzate una serie di macchine precedentemente compromesse per generare le richieste. Il sistema, che non è in grado di gestire il flusso, non riesce quindi più a rispondere alle chiamate vere che riceve. I firewall sono una prima linea di difesa verso questo genere di azioni, ma spesso non sono sufficienti. Per servizi particolarmente critici è opportuno prevedere opportuni piani di reazione, reti e server ridondati e la possibilità di “sospendere” uno specifico server a favore di altri. Molti servizi di cloud computing offrono intrinsecamente opzioni di ridondanza della rete.
Due ulteriori tipologie di offensiva sono il SQL injection e XSS Attack (cross-site scripting). La prima vede eseguire delle query verso un database, tipicamente da una pagina html. Se il database bersaglio non è stato adeguatamente protetto e controllato diventa possibile leggere, cancellare o modificare il contenuto. Bloccare e istituire regole appropriate (soprattutto per i fillable box) rende l’assalto informatico infruttuoso.
Simile è l’attacco XSS. Uno script dannoso viene inserito all’interno di una pagina web non ben protetta. L’utente visitandola e/o rispondendo con commenti o attività “trasporta” lo script all’interno di quanto pubblica. A sua volta, lo script infetta gli altri utenti che visitano il sito propagando malware, adaware, virus o direttamente reindirizzando a ulteriori elementi infetti. Anche in questo caso la corretta protezione delle pagine, degli input box e delle macchine ci mette al sicuro da influenze indesiderate.
Altre vulnerabilità
Un’altra possibile vulnerabilità che può venire sfruttata è quella dei DNS. Il DNS tunneling fornisce un accesso consistente a duraturo all’attaccante. Inserendo dei malware nelle query ai DNS si crea un “buco” nella protezione firewall da cui si può poi accedere ai sistemi. Lo scarso monitoraggio che si ha solitamente sul traffico DNS contribuisce ad acuire la possibilità di danni consistenti. I comuni firewall e antivirus sono solitamente poco efficienti nell’individuare e gestire questo tipo di minaccia e si richiedono quindi software e/o configurazioni specifiche.
L’ultimo tipo di possibile exploit da conoscere è il cosiddetto “0 day”. Un malintenzionato scopre (prima dello sviluppatore) una possibile falla di sicurezza in un software o una sua patch. Non essendo a conoscenza del developer, non esistono patch per proteggersi ed eventuali attacchi hanno una grande possibilità di avere successo. Il tempo necessario a identificare la breccia nel software, creare una patch adeguata e, soprattutto, a diffonderla agli utenti è purtroppo elevato. Un esempio pratico è avvenuto a inizio 2022 quando un celebre browser ha riscontrato una falla di sicurezza che avrebbe permesso di identificare e vedere la cronologia dei naviganti. Potenzialmente questa vulnerabilità avrebbe potuto esporre gli utenti a attacchi XSS.
Come possiamo difenderci
Diventa quindi importante l’uso di software sempre aggiornati (per diminuire la finestra di vulnerabilità) e di antivirus di ultima generazione che possano euristicamente bloccare minacce inattese. Come già accennato in un precedente articolo c’è una continua rincorsa di “guardie e ladri”. Solo con l’aiuto degli utenti, software aggiornato, e tanta attenzione è possibile diminuire drasticamente i pericoli che si corrono online.