Attacchi e difese

Sicurezza Informatica Attacchi e difese Borgogno Piergiorgio 2006

Attacchi e difese La copia letterale e la distribuzione di questo articolo nella sua integrità sono permesse con qualsiasi mezzo, a condizione che questa nota sia riprodotta

Sicurezza informatica Salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati. Gli aspetti di protezione del dato sono: la confidenzialità l'integrità la disponibilità. Livelli di protezione: - livello fisico e materiale (logistica) - livello logico (autenticazione e l'autorizzazione, audit) Spesso l'obiettivo dell'attaccante non è rappresentato dai sistemi informatici in sé, quanto piuttosto dai dati in essi contenuti

Sicurezza informatica Sicurezza passiva: si intendono le tecniche e gli strumenti di tipo difensivo, ossia quel complesso di soluzioni il cui obiettivo è quello di impedire che utenti non autorizzati possano accedere a risorse, sistemi, impianti, informazioni e dati di natura riservata Sicurezza attiva: le tecniche e gli strumenti mediante i quali le informazioni ed i dati di natura riservata sono resi intrinsecamente sicuri, proteggendo gli stessi sia dalla possibilità che un utente non autorizzato possa accedervi (confidenzialità), sia dalla possibilità che un utente non autorizzato possa modificarli (integrità)

Attacchi e difese * Exploit * Buffer overflow * Shellcode * Cracking * Backdoor * Port scanning * Sniffing * Spoofing * Virus informatici * Man in the Middle * DOS * DDOS * Social engineering * Hacking * Crittografia * Sistema di autenticazione * Firma digitale * Firewall * Intrusion Detection System (IDS) * Network Intrusion Detection System (NIDS) * Honeypot * Steganografia Tecniche di attacco Tecniche di difesa

Attacchi: exploit Un exploit è un termine usato in informatica per identificare un metodo che, sfruttando un bug o una vulnerabilità, porta all'acquisizione di privilegi o al denial of service di un computer. Lo scopo di molti exploit è quelli di prendere i privilegi di root su un sistema Normalmente un exploit può sfruttare solo una specifica falla e quando è pubblicato questa falla è riparata e l'exploit diventa obsoleto per le nuove versioni del programma.

Attacchi: exploit Normalmente l'exploit contatta l'applicazione vulnerabile. Exploit locale richiede un preventivo accesso al sistema e solitamente fa aumentare i privilegi dell'utente Exploit remoto è compiuto attraverso la rete e sfrutta la vulnerabilità senza precedenti accessi al sistema Generalmente gli exploit DEVONO essere dichiarati alla casa madre, altrimenti sono detti exploit sono chiamati zero day exploit ,utilizzati spesso dagli script kiddies

Il “BUG” BUG significa insetto, ed è proprio quello che trovarono dentro i “primi computer”

Attacchi: buffer overflow Lo stack overflow , come il “buffer overflow*, consiste nella sovrascrittura dell'area dati del programma, ma questa volta non è causata da un input di dati troppo lungo ma dall'attività del programma stesso, ad esempio chiamando con dei parametri particolari una funzione ricorsiva del programma Può anche fare parte della famiglia degli exploit, dove probabilmente è il più diffuso e più pericoloso. Consiste nel fornire al programma più dati di quanto esso si aspetti di ricevere. Questo tipo di debolezza dei programmi è noto da molto tempo, ma solo di recente la sua conoscenza si è diffusa.

Attacchi: shellcode Uno shellcode è un programma in linguaggio assembly che tradizionalmente esegue una shell, come la shell Unix '/bin/sh' oppure la shell command.com sui sistemi operativi DOS e Microsoft Windows Sfruttando un exploit, può consentire di acquisire l'accesso alla riga di comando con privilegi elevati di un computer. L'esecuzione dello shellcode può essere ottenuta sovrascrivendo l'indirizzo di ritorno dello stack con l'indirizzo dello shellcode. In questo modo quando la subroutine prova a ritornare al chiamante, ritorna invece al codice dello shellcode che apre una riga di comando.

Attacchi: cracking Con cracking si intende la modifica di un software per rimuovere la protezione dalla copia, oppure per ottenere accesso ad un'area altrimenti riservata. La distribuzione di software così sprotetto ( warez ) è generalmente un'azione illegale se non criminale, per violazione di un copyright. Il crack viene spesso ottenuto tramite il reverse engineering, tecnica che permette di capire la logica del software analizzando il suo funzionamento e le risposte a determinati input.

Attacchi: backdoor Le backdoor in informatica sono paragonabili a porte di servizio che consentono di superare in parte o in toto le procedure di sicurezza attivate in un sistema informatico. Generalmente sono intenzionalmente create dai gestori del sistema informatico per permettere una più agevole opera di manutenzione dell'infrastruttura informatica, più spesso sono usati da malintenzionati per manomettere il sistema Un esempio celebre è il programma Back orifice, che attiva una backdoor sul sistema in cui viene installato, dando la possibilità a chiunque ne conosca l'indirizzo di controllare la macchina. Oltre ad essere molto pericolosi per l'integrità delle informazioni presenti sul sistema, le backdoor installate dai virus possono essere utilizzate per condurre degli attacchi di tipo DDoS.

Attacchi : Port scanning Il Port Scanning è una tecnica informatica utlizzata per raccogliere informazioni su un computer connesso ad una rete. Letteralmente significa "scansione delle porte" e consiste nell'inviare rischieste di connessione al computer bersaglio (soprattutto pacchetti TCP, UDP e ICMP creati ad arte): è dunque possbibile stabilire quali servizi di rete siano attivi su quel computer. Una porta si dice "in ascolto" ("listening") o "aperta" quando vi è un servizio o programma che la usa. Non è pericoloso per i sistemi informatici, e viene comunemente usato dagli amministratori di sistema per effettuare controlli e manutenzione.

Attacchi : Sniffing Si definisce sniffing l'attività di intercettazione passiva dei dati che transitano in una rete telematica. può essere svolta sia per scopi legittimi (ad esempio l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). Sniffing in reti ethernet non-switched : sniffing totale Sniffing in reti ethernet switched : solo i pacchetti destinati al proprio indirizzo ed i pacchetti di broadcast --> MAC flooding con conseguenze di fail open dello switch. Sniffing in reti geografiche : solo attraverso Man in the middle DIFESE: Cifratura del traffico Routing and firewalling

Attacchi: Man in the middle E' un attacco nel quale l'attaccante è in grado di leggere, inserire o modificare a piacere, messaggi tra due parti senza che nessuna delle due sia in grado di sapere se il collegamento sia stato compromesso. L'attaccante deve essere in grado di osservare e intercettare il transito dei messaggi tra le due vittime. La possibilità di un attacco MITM rimane un serio problema di sicurezza per sistemi di cifratura a chiave pubblica.

Attacchi : Spoofing Lo spoofing è la tecnica con la quale l'hacker invia pacchetti modificando l'ip sorgente facendo credere, quindi, all'host di destinazione e ai vari hop che il pacchetto attraversa (firewall, router, etc...) di provenire da un'altra sorgente.

Attacchi : DoS Denial of service , letteralmente negazione del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio. Sono Attacchi portati da un singolo host (facilmente rintracciabili - Syn-Flood (storico) letteralmente "inondazione di pacchetti di tipo Syn", ovvero pacchetti che aprono conessioni - Smurf viene mandato uno o più pacchetti di broadcast verso una rete esterna composta da un numero maggiore possibile di host e con l'indirizzo mittente che punta al bersaglio.

Attacchi : DDoS Distributed DoS In questi attacchi il bersaglio viene attaccato contemporaneamente da più fonti, rendendo difficile rintracciare l'attaccante originario. -Costruire una botnet: Gli attaccanti, per evitare di essere individuati e per avere a disposizione un numero sufficiente di computer per l'attacco inizialmente, infettano un numero elevato di computer con dei virus o worm che lasciano aperte delle backdoor a loro riservate i nodi della bot net vengono definiti agenti, o Zombie Quando il numero di zombie è ritenuto adeguato, o quando scatta una specifica data, i computer infetti si attivano e sommergono il server bersaglio di false richieste

Attacchi : DDoS Reflected DDoS In questa particolare tipologia di attacco, il computer attaccante produce delle richieste di connessione verso server con connessioni di rete molto veloci utilizzando come indirizzo di provenienza non il proprio bensí quello del bersaglio dell'attacco. Quest'ultimo tipo di attacco è particolarmente subdolo perché, a causa della natura delle risposte, è difficilmente schermabile dall'utente comune: infatti se si filtrassero le risposte dei server verrebbe compromessa la funzionalitá stessa della connessione di rete impedendo, di fatto, la ricezione anche delle informazioni desiderate. Le risposte dei server, sollecitate dall'attaccante, sono infatti indistinguibili da quelle generate da una richiesta legittima della vittima.

DDos ATTACK

Difese : Hacking L' uso quotidiano e mediatico della parola spesso ci è presentato come sinonimo di “cosa malvagia”, a carattere illegale e terroristico.

Il termine HACKING, si riferisce più genericamente ad ogni situazione in cui si faccia uso di creatività e immaginazione nella ricerca della conoscenza: ad esempio, Leonardo da Vinci può essere considerato un'hacker del XV secolo. Difese : Hacking Più banalmente spesso ci si riferisce ad un Hack come ad uno scherzo geniale glider

Difese : Hacking Chi fa hacking viene chiamato Hacker ; è più un'approvazione che deriva dall'esterno piuttosto che un nome di cui ci si fregia autonomamente. Per l'hacker è fondamentale conoscere accuratamente il sistema su cui interviene, L'hacker si dedica all'analisi, raggiungendo la conoscenza attraverso la sperimentazione sul campo: l'hacking è visto come uno strumento per ottenere informazioni e conoscenze che, seppur protette, si presumono appartenere alla comunità. La pratica di accedere illegalmente a sistemi altrui (per qualsivoglia motivo) usa mezzi e tecniche proprie dell'hacking, ma se ne differenzia profondamente: mentre l'hacker cerca la conoscenza, il cracker mira alla devastazione e al furto. Chi pratica l'intrusione informatica semplicemente copiando le tecniche trovate e sviluppate da altre persone sfruttando exploit già pronti, viene chiamato lamer .

http://www.stallman.org/

Difese : Crittografia La parola crittografia deriva dalla parola greca kryptós che significa nascosto e dalla parola greca gráphein che significa scrivere. La crittografia è la controparte della crittanalisi ed assieme formano la crittologia.

Difese : Crittografia La prima traccia storica di uso della crittografia risale a Caio Giulio Cesare: inventò il Cifrario di Cesare. -algoritmo a scorrimento -algoritmo monoalfabetico -algoritmo polialfabetico (1586: cifrario di Vigénère) VVIUZVRFUVDRWAVUM Chiave : Verme La crittografia tradizionale moderna è ideata da Gilbert Vernam nel 1918 -crittografia asimmetrica o chiave pubblica (RSA, PGP) -crittografia simmetrica (DES, AES ) -crittografia quantistica

Difese : Autenticazione Non esistono computer, software o utenti in grado di confermare, con totale certezza, l'identità di altri computer, software e utenti. Essendo la soluzione "totalmente sicura" irraggiungibile, si può soltanto cercare di sottoporre l'autenticando a diverse prove, ad esempio delle domande alle quali bisogna rispondere correttamente. I metodi tramite i quali un essere umano può autenticarsi sono divisi in tre classi, in base a ciò che egli: * è (es. impronte digitali, impronta vocale, modello retinico, sequenza del DNA, calligrafia o altri identificatori biometrici) * ha (es. tesserino identificativo) * conosce (es. password, parola chiave o numero di identificazione personale (PIN))

Difese :Firma digitale La firma digitale, o firma elettronica qualificata, basata sulla tecnologia della crittografia a chiavi asimmetriche, ha lo stesso scopo della firma convenzionale. In Italia esiste il decreto legislativo 7 marzo 2005, n. 82, l'articolo 1, distingue 3 concetti di "firma”: a) Per " firma elettronica " la legge intende qualunque sistema di autenticazione del documento informatico. b) La " firma elettronica qualificata " è definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarità è certificata da un soggetto terzo. c) La " firma digitale ", è considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche.

Difese :Firewall Software o apparato di rete hardware che filtra tutti i pacchetti entranti ed uscenti, da e verso una rete o un computer, applicando regole che contribuiscono alla sicurezza della stessa. Crea un filtro sulle connessioni entranti ed uscenti, innalza il livello di sicurezza della rete. Il firewall agisce sui pacchetti in transito da e per la zona interna potendo eseguire su di essi operazioni di: * controllo * modifica * monitoraggio

Difese :Firewall Packet filter: valuta ciascun header del pacchetto, decidendo quali far passare e quali no sulla base delle regole configurate. Stateful inspection: ricostruisce lo stato delle connessioni TCP, o i protocolli che aprono più connessioni. Questo permette ad esempio di riconoscere pacchetti TCP malevoli che non fanno parte di alcuna connessione Application Layer Gateway: effettua controlli fino al livello 7 della pila ISO/OSI, a questa generazione di firewall appartengono i proxy. Spesso un proxy è assimilato - o usato come - un firewall. Tipologie di firewall, in ordine crescente di complessità:

Difese :Honeypot E' un sistema o componente hardware o software usato come "trappola" o "esca" : letteralmente: "barattolo del miele". Il valore primario di un honeypot è l'informazione che esso dà sulla natura e la frequenza di eventuali attacchi subiti dalla rete. Gli honeypot non contengono informazioni reali e quindi non dovrebbero essere coinvolti da nessuna attività; rilevazioni in senso opposto possono rivelare intrusioni non autorizzate o malevoli in corso.

Difese :Steganografia l termine steganografia è composto dalle parole greche stegano (nascosto) e grafia (scrittura) e individua un'antica tecnica risalente all'antica Grecia, teorizzata dall'abate Tritemio attorno al 1500 Nel campo dell'informatica, due utenti possono utilizzare la steganografia per inviarsi messaggi nascosti all'interno di file di "copertura", come immagini o altri file multimediali: in questo tipo di file l'alterazione di pochi bit non altera in modo evidente il contenuto. Cerca di proteggere i dati semplicemente nascondendoli e non proteggendoli "davvero", ma se usata congiuntamente alla crittografia, puo' diventare un ottima tecnica. -Digital Watermarking -Messaggi subliminali

Difese : IDS Un motore che analizza i dati prelevati e si appoggia ad un database ove sono memorizzate una serie di regole utilizzate per identificare violazioni della sicurezza L' Intrusion Detection System è un dispositivo software/hardware utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Un IDS è composto da quattro componenti. Uno o più sensori : per rilevare dati Una console per monitorare i dati

Difese : NIDS Network Intrusion Detection System, sono degli strumenti informatici, software o hardware, dediti ad analizzare il traffico di uno o piu segmenti di una LAN al fine di individuare anomalie nei flussi o probabili intrusioni informatiche. Funzionamento: Pattern Matching: l'abilità del NIDS di confrontare i flussi a delle signatures Anomaly Detection : il riconoscimento di flussi sospetti grazie al meccanismo di funzioni e algoritmi matematici che si rifanno alle RFC e ai loro standard

Autore Originale: Releasing: Borgogno Piergiorgio Borgogno Piergiorgio Dicembre 2005 Formato: Open Document Presentation Download: PPT SVF http://www.archimedix.net/docs/attacchi.odp Attacchi e difese Rights

Attacchi e difese

by Archimedix Bulan

Accessibility

Upload Details

Usage Rights

2 Embeds 20

Statistics

Attacchi e difese Presentation Transcript

http://www.archimedix.net	13
http://www.slideshare.net	7