Per hacking si intende, nella computer security, l’exploit di una vulnerabilità per ottenere accesso ad un sistema o a delle risorse. Modificare un sistema o un’applicazione per creare nuovi comportamenti non previsti dal suo funzionamento originario. Rubare o ridistribuire proprietà intellettuali creando così una perdita ad un business.
L’hacking sul network viene eseguito spesso attraverso script o software di rete, questo hacking include diverse tecniche tra cui: virus, denial of service (dos), stabile un accesso remoto non autorizzato usando trojan o backdoor, creazione e sfruttamento di botnet, sniffer di pacchetti di rete, phishing, password attack.
Le motivazioni per un attacco sono varie: attenere e sottrarre informazioni critiche, per la sfida, per curiosità, per esperienza e conoscenza, per ottenere un guadagno, per prestigio, per vendetta e altre ragioni.
Un hacker è una persona che accede ad un sistema o una rete senza autorizzazione, per ottenere informazioni, distrugerla o per eseguire ulteriori attacchi. Possiamo identificare diverse “classi” di hacker:
Durante un attacco informatico possiamo individuare 5 fasi ben definite da attività specifiche.
In questa fase l’attaccante studia e raccoglie più informazioni possibili su target, come impiegati, clienti, network e sistemi. Questa fase permette all’attaccante di pianificare l’attacco.
Una tecnica per raccogliere informazioni sensibili può essere quella dell’ingegneria sociale, dove l’attaccante convince una persona a fornirgli informazioni sensibili con l’inganno. Sfruttando queste informazioni può ottenere ulteriori informazioni importanti. Un'altra tecnica è quella del Dumpster Diving e consiste nel ricercare informazione all’interno dei cestini della spazzatura dell’organizzazione sperando che qualche dipendente abbia gettato dei fogli con informazioni sensibili senza prima averli distrutti o resi illeggibili. Anche visitando il sito internet dell’organizzazione l’attaccante può ottenere importanti informazioni, inoltre con una richiesta al database whois si possono estrarre informazioni su chi ha registrato il dominio e vari contatti.
Si identificano 2 tipologie di ricognizione, la ricognizione attiva e la ricognizione passiva.
La ricognizione passiva è quella che permette all’attaccante di ottenere informazione senza interagire con l’organizzazione o con i suoi sistemi, questo permette all’attaccante di rimanere completamente nascosto e anonimo.
La ricognizione attiva è quella che mette l’attaccante direttamente in contatto con i sistemi target, con l’utilizzo di tool e varie tecniche l’attaccante cerca di individuare porte aperte, servizi, sistemi perimetrali, reti appartenenti all’organizzazione target e applicazioni.
Questa fase è la fase pre-attacco, durante questa fase l’attaccante prende di mira direttamente la network del target per raccogliere informazioni specifiche sul bersaglio (spesso questa fase coincide con la ricognizione attiva).
Tramite la scansione l’attaccante può venire a conoscenza, tramite port scanning, di servizi, sistemi operativi, host attivi, sistemi di filtraggio o difese perimetrali in una determinata rete. Queste informazioni sono essenziali per identificare una prima superfice di attacco. Molti dei tool che si possono usare per il port scanning implementano anche sistemi per identificare eventuali servizi attivi e enumerare possibili vulnerabilità.
In questa fase l’attaccante sfrutta le vulnerabilità individuate nella precedete fase per ottenere l’accesso ai sistemi target (sistema operativo, applicazione, rete). Anche se l’attacco non permetta l’accesso all’attaccante questo può provocare parecchi danni come la perdita di dati o il disservizio temporaneo o permanete della risorsa.
Ottenuto l’accesso l’attaccante cerca di elevare i suoi privilegi per avere più possibilità di utilizzare il sistema compromesso per eseguire ulteriori scansioni alla ricerca di host o reti adiacenti da attaccare.
In questa fase l’attaccante aumenta i suoi privilegi per poter installare backdoor, rootkit o trojan che gli permettono di mantenere un accesso al sistema anche se le vulnerabilità precedentemente sfruttate dovessero essere fixate o non più sfruttabili. L’attaccante piò scaricare malware o tool specifici per raccogliere informazioni come username, password, configurazioni e strutturale per successivi attacchi all’interno del network.
Arrivato a questo punto l’attaccante eliminerà ogni sua traccia sul sistema, così da poter evitare l’individuazione e prolungare così la sua permanenza sul sistema e sulla network bersaglio. Ovviamente durante questa fase l’attaccante potrà ricominciare con una nuova fase di ricognizione partendo dal sistema compromesso e attaccando dall’interno l’organizzazione.
Crediti cover: