Nel corso di questo articolo amdremo a descrivere quali sono i principali tipi di attacco che un computer può subire, ed in alcuni casi daremo una breve descrizione delle varie sotto categorie.

La sicurezza del computer può essere minacciata facilmente, ad esempio interferire con le normali attività mediante un DoS, oppure complessa forzando realmente la rete e andando a modificare o prendere il controllo delle risorse messe a disposizione.

Di seguito sono riportate le principali minacce:

• Attacco Denial of Service
• Trojan Horse
• Buffer overflow
• Intrusioni fisiche alla sicurezza
• Social Engineering

Normalmente quando un pirata informatico porta avanti un attacco a qualcuno, l'attacco di per se non è mai semplice, ma è sempre una combinazioni di vari attacchi, in modo da mettere in crisi il sistema dell''utente colpito.

Attacchi Denail of Service
Solitamente attacchi di questo tipo, si hanno quando qualcuno esegue particolari ooperazioni su un sistema domestico o un server web, che interferiscono con le normali operazioni svolte.

Prendiamo in esame un server web, normalmente esso è configurato per gestire un certo tipo di carico di lavoro. Se consideriamo il comando ping, questo può essere configurato in modo da inviare tante richieste al server in modo molto veloce (flooding). Il singolo computer che deve rispondere a così tante richieste di ping, potrebbe non rispondere in modo adeguato.

Il cracker, in circostanze di questo tipo, potrebbe configurare una qualche utility in modo da inviare pacchetti non conformi o con dimensioni non normali, facendo in modo di rallentare il sistema o addirittura di mandare in tilt il computer.

Attacchi di questo tipo sono poco utili ai cracker, poichè non permettono l'accesso alla rete, ma solamente di rallentare la normale attività del sistema, impedendo ai normali utenti di collegarsi alla rete, causando dei gravi disagi all'azienda.

Di seguito saranno analizzati alcuni tipi tipi di DoS.

Syn Flooding
Questo tipo di attacco è stato riscontrato per la prima volta nel 1996, esso consiste nell'inviare molti pacchetti Syn che a prima vista appartengono ad un indirizzo della rete, ma in realtà questo indirizzo non è reale.

Il collegamento in rete tra due computer avviene nel seguente modo:

• il client invia un pacchetto Syn al server
• il server risponde con un pacchetto di tipo Syn-Ack (significa Syn ricevuto)
• il client risponde nuovamente con un pacchetto Ack, cioè ricevuto.
• a questo punto la connessione è stabilita ed possibile scambiare i dati.

Oggi possiamo dire che molte falle dei vari sitemi operativi che permettevano tali tipi di attacchi sono state chiuse.

Land Attack
Questo DoS, sfruttava un buco del software, dovuto al modo in cui era stato configurato il Tcp/Ip su alcuni diversi sistemi operativi, mandando in errore il server.

Veniva inviato un pacchetto Syn con un indirizzo Ip e numero di porta errati o fasulli, causando un errore o il blocco del sistema. Per far fronte ai Land Attack, si doveva aggiornare il sistema operativo, configurare il firewall in modo da eliminare tutti i pacchetti errati della rete in uscita contenenti indirizzi Ip diversi da quelli esistenti.

Smurf Attack
Questo attacco è stato utilizzato per poco tempo, era molto simile al ping flood, con la differenza che nel pacchetto di ping l'indirizzo Ip era quello del destinatario. Quindi venivano inviati un gran numero di richieste di ping alla vittima, ma la vittima era sommersa dalle sue risposte, causando un blocco o un errore. Il problema è stato risolto con la giusta configurazione dei router.

Ip Spoofing
In questo caso l'attacante invia un pacchetto di connessione diverso da quello reale, il messaggio inviato è un Syn contentente un falso indirizzo Ip e numero di porta. il server invia il messaggio Syn-Ack, ed aspetta la risposta del cliente dell'Ack, mantenendo in questo modo la connessione aperta a metà. la connessione aperta a metà scade dopo un certo intervallo di tempo, inviando molti messaggi falsi, si arriva al punto che il server non riesce a gestire le vere connessioni provocando in questo modo un rifiuto di questo servizo.

Per ovviare a questo tipo di problema, un modo è quello di abbassare il tempo di vita della richiesta di connessione, oppure configurare in modo opportuno i router in modo da filtrare i pacchetti.

Ping od death
Questo tipo di attacco era possibile avviarlo su diversi sistemi operativi, WinX, MacOs, Unix, inviando una richiesta di eco ICMP con dimensioni superiori a 64K. il problema è stato risolto con l'aggiornamento dei vari sistemi operativi.

Trojan Horse
Un cavallo di troia, è questa la traduzione in italiano di trojan horse, è un piccolo programma che viene eseguito di nascosto, il quale oltre a contenere una funzionalità utile ne contiene un'altra nascosta. Il suo scopo è quello di carpire delle informazioni dell'utente.

Facciamo un esempio, immaginiamo di lasciare aperta la finestra del login, il trojan una volta memorizzate la login e la password quando vi riconnettete, le trasmetterà tramite email a chi ha installato il trojan.

Un altro esempio, quando visitate una pagina particolare di un certo sito può accadere che vi venga richiesto di provvedere ad aggiornare il vostro browser, una volta terminata l'installazione, oltre ad aver aggiornato il browser avrete installato anche un cavallo di troia.

Ultimamente i trojan viaggiano sotto forma di email con allegati e con soggetto del messaggio tipo: "Ciao come stai?" Quando andrete a vedere l'allegato dal vostro computer, avrete anche installato il trojan, infatti questo è stato il metodo di infezione del famoso tojan Melissa. Il trojan più dannoso è comunque Back Orifice, può funzionare sia su piattaforme Unix che Windows. Ma ormai i costruttori di software hanno sviluppato delle utility in grado di rendere innocuo tale trojan.

I trojan sono in grado di lavorare per conto loro utilizzando gli stessi privilegi dell'utente che si è connesso, in questo modo possono cancellare, modificare o duplicare files e cartelle senza che nessuno se ne accorga.

Se per caso vi rendete conto che c'è qualcosa che non va, installate ed aggiornate il vostro antivirus, effettuate la scansione, pulite l'instero disco o dischi, e modificate tutte le vostre password che utilizzate, poichè potrebbero essere state rubate dal cracker che vi ha innviato o installato il trojan.

Buffer overflow
Quando si verifica? E sopratutto cosa significa?
L'overfow, si verifica quando un determinato programma occupa una quantità tale di dati da elaborare, superiore alle sue possibilità.

Un buffer è una particolare area di memoria allocata all'interno del computer, di una determinata dimensione, la dimensione la stabilisce il programma che viene eseguito, poichè ha la necessità di elaborare determinati dati.

Esempio supponiamo che eseguiamo il programma "X" che crea un buffer di 64K, l'utente digita del testo, quando l'utente avrà digitato il testo, e dopo averle verificate le vada a memorizzare sull'hard disk. un buon programma, dovrebbe comportarsi in uno dei seguenti modi:

1. crea un buffer abbastanza capiente in modo da poter contenere tutte le informazioni digitate dall'utente;
2. quando il testo che digita eccede la dimensione del buffer deve rifiutare di memorizzare altro testo informado l'utente che deve prima memorizzare per poter continuare.

Se il programma "X" non fa nessun controllo sulla dimensione del buffer da lui creato, può accadere che il testo digitato vada ad occupare altra memoria (già utilizzata da altre applicazioni), creando una sovrascrittura di dati; e a questo punto il computer non sa più come rispondere.

Il buffer overflow può diventare un attacco quando il cracker conoscendo il bug del programma chè è in esecuzione, vada a sovrascrivere le istruzioni nello stack di memoria con altre a suo piacimento, in questo modo può fare ciò che desidera utilizzando gli stessi privilegi dell'utente o server colpito.

Intrusioni fisiche alla sicurezza
La maggior parte dei casi che riguardano intrusioni nella sicurezza di un sistema, avviene mediante un contatto fisico.

Qaunte volte avete lasciato il vostro computer acceso in ufficio, senza disconetterlo e voi eravate assenti in quel momento? Tante. Beh, questi sono i momenti migliori per una persona entrare nel vostro ufficio e dare una bella sbirciatina al vostro computer.

Quando una persona assume questo comportamento è in grado di mandare email, infettare il vostro sistema, rubare le vostre password, copiare dati riservati, etc.

Social engineering
E' un metodo per carpire i vostri dati, ma qui il colpevole non è il cracker ma sarete voi a dare le vostre informazioni al pirata, poichè vi sta traendo in inganno.

Esempi:

• un malintenzionato potrebbe contattarvi, dicendo di essere l'amministratore della rete e che per verificare il corretto funzionamento della lan, ha bisogno della vostra login e della password;
• dire di aver dimenticato il vostro tesserino per poter entrare nella stanza dei server e farvi aprire da altre persone;
• inviare un'email dove finge di identificarsi come l'amministratore del sito e vi chiede di fornire la vostra user e password;
• collegandosi ad una chat con nomi tipo "Admin", "root", SysAdmin", etc, e chiede agli utetnti di inviare la login e la password.

In qualsiasi sistema sono presenti dei canali di comunicazione, denominate porte. All'interno di ogni singolo canale avviene uno scambio di dati dal sistema al processore o a qualsiasi dispositvo che utilizza la rete. In tutti i sistemi le porte presenti sono 65546, e sono suddivise principalmente in due categorie:

• da 0 a 1024, sono considerate come porte note e ciascuna di esse sono associati determinati servizi di sistema;
• da 1025 a 65546 sono chiamate sono porte che normalmente non sono associati a nessun servizio in particolare oppure qualora lo fossero, non si conosce bene a quale servizio appartengono.

Le infezioni più comuni di un sistema possono avvenire mediante virus, cavalli di troia, worm che sfruttano determinate porte aperte e non controllate dai programmi di protezione: antivirus, anti trojan, firewall.

Di seguito vengolo elencate le porte maggiormente coinvolte dalle infezioni:

21, 5400
Sono utilizzate normalmente dal normale progrmma FTP, ma ne esistono alcune varianti che permettono di controlare da una postazione remota il download e l'upload di file;

23
Esiste un programma che ha la funzione di emulare un servizio Telnet, (ma è nascosto), quando si è connessi con il normale
Telnet, l'attaccante può eseguire da remoto comandi sul sistema infettato;

25, 110
quante volte soprattutto a fine di ogni anno abbiamo visto sugli schermi dei nostri amici, o sul nostro applicazioni che mostrano fuochi d'articifio o tappi di spumante che saltano? Tante. Queste due pporte solitamente vengono utilizzate dai programmi di posta elettronica. Nel caso in cui vi accorgete che le porte risultano aperte, attraverso un port scaner, e non state utilizzando un programma di gestione della posta elettronica, state attenti, vuol dire che all'interno dell'applicazione che una mini appplicazione compresa che sta tentando di rubare le vostre password di sistema ed inviarle via email.

31, 456, 3129
sono porte utilizate per prendere il controllo del sistema e permettono la modifica del registro di configurazione.

41, 214 , 3150, 60000
un noto programma, di cui non diciamo il nome, permette l'entrata in queste porte e prendere sotto controllo molti servi: gestione remota del sistema, cattura dello schermo, Ftp, etc.

113
è una porta utilizzata da un noto worm di nome "kazimas". una volta che il sistema è infettato, si autoreplica e modifica le configurazione del mIRC.

119
happy99 è questo il nome del programma che utilizza la porta, oltre a mostrare fuochi d'artificio sullo schermo, permette di subire attacch DoS, furti di password, mail spamming.

555, 9989
sono due porte utilizzate da due programmi, il quale scopo è la distruzione del sistema operativo, dopo essersi autoreplicati e ridistribuiti.

1010, 1015
il cavallo di troia con nome "Doly Trojan" acquisisce il controllo totale del sistema utilizzando le due porte.

1234
altro cavallo di troia che acquisisce il controllo del sistema infettato.

1024, 31338
è in cicolazione un progrmma che permette di gestire il sistema da remoto, spiare l'attività del computer, bloccare
il punsante Start, nascondere la Barra delle applicazioni, etc.

1600
Shivka-Burka, è questo il nome del cavallo di troia che permette il trasferimento di files della macchina infettata.

1999
cavallo di troina di nome backDoor, permette diverse cose: controllo remoto del sistema, controllo del video, del mouse, chat.

2115
viene utilizzata da un programma per la gestione dei files e l'esecuzione dei comandi.

2155, 5512
vengono utilizzate da un programma di spamming, il quale provvede ad inviare dei messaggi di posta elettronica utilizzando l'identità del sistema infettato.

2565
è Striker, il nome del programma che utilizza questa porta. Il suo scopo è la distruzione totale del sistema, se il suo attacco viene evitato, al successivo riavvio della macchina non si corrono ulteriori rischi, poichè esso risiede nella memoria volatile del computer.

2583, 3024, 4092, 5742
sono porte utilizzate da un noto programma che ha come strumenti il flooding. Un attacco molto serio e pericoloso.

2600
porta utilizzato da un cavallo di troia, permette il controllo delle finestre, audio, monitor, modem, etc.

2989
viene utilizzata da un cavallo di troia, per distruggere files nel sistema infettato.

3459, 3801
sono due porte utilizzate da un programma di ftp invisibile, che permette lo scambio dei files, la modifica e la cancellazione.

5001, 30303, 50505
è un virus che si va ad installare nella cartella c:\windows\system, chreando un errore di tipo .dll, e modificando il registro di configurazione.

6400
viene utilizzata da un piccolo programma il quale il suo scopo è quello di infettare altre macchine partendo dalla prima.

7000
Remote Grab, è questo il nome del programma che riesce a catturare le schermate del computer infetto.

10101
esiste un piccolo programma che permette oltre al solito controllo del sistema, anche ad eliminare i files di scansione degli antivirus attivi precedentemente installati.

12223
il Keylogger che utilizza questa porta permette di inviare il tempo reale al distributore del programma, tutte le suenze di tasti che vengono premute.

12345
NetBus, è un vecchio programma che veniva utilizzato per monitorare le porte.

20000
Il programma che sfrutta questa porta permette diversi controlli: il lettore Cd, barra delle applicazioni, furto di password, riavvio del sistema, etc.

22222, 33333
il cavallo di troia in questione offre i tipici strumenti di controllli gia presentati.
31337, 54320; solo le due porte che utilizza il famoso BackOrifice. Il programma è stanto anche evoluto in diverse versioni per attacchi specifici su sistemi windows.

Come potete leggere di porte aperte ce ne sono tante, per cercare di aver un buon sistema, si consiglia di installare un buon firewall, un antivirus, un antitrojan e scansionare settimanalmente il sistema.
In questo modo possiamo cercare di limitare al minimo i rischi di infezioni.