Hacking e fasi di un attacco
Morryk
0x12e0
May 5th, 2022

Per hacking si intende, nella computer security, l’exploit di una vulnerabilità per ottenere accesso ad un sistema o a delle risorse. Modificare un sistema o un’applicazione per creare nuovi comportamenti non previsti dal suo funzionamento originario. Rubare o ridistribuire proprietà intellettuali creando così una perdita ad un business.

L’hacking sul network viene eseguito spesso attraverso script o software di rete, questo hacking include diverse tecniche tra cui: virus, denial of service (dos), stabile un accesso remoto non autorizzato usando trojan o backdoor, creazione e sfruttamento di botnet, sniffer di pacchetti di rete, phishing, password attack.

Le motivazioni per un attacco sono varie: attenere e sottrarre informazioni critiche, per la sfida, per curiosità, per esperienza e conoscenza, per ottenere un guadagno, per prestigio, per vendetta e altre ragioni.

Chi è un hacker

Un hacker è una persona che accede ad un sistema o una rete senza autorizzazione, per ottenere informazioni, distrugerla o per eseguire ulteriori attacchi. Possiamo identificare diverse “classi” di hacker:

  • Black Hat: è l’individuo che usa le sue conoscenze per attaccare e prendere il controllo di sistemi o reti, spesso per azioni criminali.
  • White Hat: spesso indicato anche come penetration test (pentester) o ethical hacker è colui che sfrutta le sue conoscenze per simulare attacchi (come li farebbe un black hat) e individuare eventuali debolezze e vulnerabilità nei sistemi e nelle infrastrutture così che si possano fixare e renderle più sicure.
  • Gray Hat: un individuo che possiamo identificarlo come una via di mezzo dei precedenti, utilizza le sue competenze per aiutare Hacker a individuare le vulnerabilità., ma nello stesso momento le comunica anche hai vendor dandogli così la possibilità di creare e rilasciare patch di sicurezza.
  • Suicide Hacker: un individuo che effettua attacchi verso infrastrutture critiche spesso attacca per perseguire una “causa” e non si preoccupa delle conseguenze che questo può portare ad altri o a se stesso.
  • Script Kiddie: lo script kiddie è colui che, non avendo competenze tecniche, esegue script o attacchi verso svariati target. Spesso punta sulla quantità di attacchi più tosto che sulla qualità dell’attacco.
  • Cyber Terrorist: colui che per motivi religiosi o politici, utilizza le sue competenze tecniche, per creare paura e caos attraverso attacchi informatici.
  • State-Sponsored Hacker: sono spesso gruppi di individui che vengono sovvenzionati da stati per attaccare, rubare o distruggere informazioni o infrastrutture di altri stati o importanti compagnie.
  • Hacktivist: sono coloro che eseguono attacchi verso target governativi o grandi compagnie in segno di protesta. Lo fanno per avere una più ampia visibilità sia online che offline.

Le fasi di un attacco di hacking

Durante un attacco informatico possiamo individuare 5 fasi ben definite da attività specifiche.

  • Ricognizione
  • Scansione
  • Ottenimento accesso
  • Mantenimento accesso
  • Eliminazione tracce

Fase di ricognizione

Crediti: https://www.pinterest.it/pin/754634481323081817/
Crediti: https://www.pinterest.it/pin/754634481323081817/

In questa fase l’attaccante studia e raccoglie più informazioni possibili su target, come impiegati, clienti, network e sistemi. Questa fase permette all’attaccante di pianificare l’attacco.

Una tecnica per raccogliere informazioni sensibili può essere quella dell’ingegneria sociale, dove l’attaccante convince una persona a fornirgli informazioni sensibili con l’inganno. Sfruttando queste informazioni può ottenere ulteriori informazioni importanti. Un'altra tecnica è quella del Dumpster Diving e consiste nel ricercare informazione all’interno dei cestini della spazzatura dell’organizzazione sperando che qualche dipendente abbia gettato dei fogli con informazioni sensibili senza prima averli distrutti o resi illeggibili. Anche visitando il sito internet dell’organizzazione l’attaccante può ottenere importanti informazioni, inoltre con una richiesta al database whois si possono estrarre informazioni su chi ha registrato il dominio e vari contatti.

Si identificano 2 tipologie di ricognizione, la ricognizione attiva e la ricognizione passiva.

La ricognizione passiva è quella che permette all’attaccante di ottenere informazione senza interagire con l’organizzazione o con i suoi sistemi, questo permette all’attaccante di rimanere completamente nascosto e anonimo.

La ricognizione attiva è quella che mette l’attaccante direttamente in contatto con i sistemi target, con l’utilizzo di tool e varie tecniche l’attaccante cerca di individuare porte aperte, servizi, sistemi perimetrali, reti appartenenti all’organizzazione target e applicazioni.

Fase di scansione

Crediti: https://www.pinterest.it/pin/754634481299918957/
Crediti: https://www.pinterest.it/pin/754634481299918957/

Questa fase è la fase pre-attacco, durante questa fase l’attaccante prende di mira direttamente la network del target per raccogliere informazioni specifiche sul bersaglio (spesso questa fase coincide con la ricognizione attiva).

Tramite la scansione l’attaccante può venire a conoscenza, tramite port scanning, di servizi, sistemi operativi, host attivi, sistemi di filtraggio o difese perimetrali in una determinata rete. Queste informazioni sono essenziali per identificare una prima superfice di attacco. Molti dei tool che si possono usare per il port scanning implementano anche sistemi per identificare eventuali servizi attivi e enumerare possibili vulnerabilità.

Fase di ottenimento dell’accesso

Crediti: https://www.pinterest.it/pin/AeEHac7vhKqagM33qz7sDzzptS7TCUay-WgMcAfMThwm2tja-RdCyWk/
Crediti: https://www.pinterest.it/pin/AeEHac7vhKqagM33qz7sDzzptS7TCUay-WgMcAfMThwm2tja-RdCyWk/

In questa fase l’attaccante sfrutta le vulnerabilità individuate nella precedete fase per ottenere l’accesso ai sistemi target (sistema operativo, applicazione, rete). Anche se l’attacco non permetta l’accesso all’attaccante questo può provocare parecchi danni come la perdita di dati o il disservizio temporaneo o permanete della risorsa.

Ottenuto l’accesso l’attaccante cerca di elevare i suoi privilegi per avere più possibilità di utilizzare il sistema compromesso per eseguire ulteriori scansioni alla ricerca di host o reti adiacenti da attaccare.

Fase di mantenimento dell’accesso

Credit: https://www.pinterest.it/pin/754634481321513323/
Credit: https://www.pinterest.it/pin/754634481321513323/

In questa fase l’attaccante aumenta i suoi privilegi per poter installare backdoor, rootkit o trojan che gli permettono di mantenere un accesso al sistema anche se le vulnerabilità precedentemente sfruttate dovessero essere fixate o non più sfruttabili. L’attaccante piò scaricare malware o tool specifici per raccogliere informazioni come username, password, configurazioni e strutturale per successivi attacchi all’interno del network.

Fase di eliminazione tracce

Crediti: https://www.pinterest.it/pin/754634481324062263/
Crediti: https://www.pinterest.it/pin/754634481324062263/

Arrivato a questo punto l’attaccante eliminerà ogni sua traccia sul sistema, così da poter evitare l’individuazione e prolungare così la sua permanenza sul sistema e sulla network bersaglio. Ovviamente durante questa fase l’attaccante potrà ricominciare con una nuova fase di ricognizione partendo dal sistema compromesso e attaccando dall’interno l’organizzazione.

Crediti cover:

Subscribe to Morryk
Receive the latest updates directly to your inbox.
Mint this entry as an NFT to add it to your collection.
Verification
This entry has been permanently stored onchain and signed by its creator.
Arweave Transaction
ut8Tf-TjhpTamer…FPx39ELw9Gu0-C0
Author Address
0x12e00e78026E472…740ce6022299913
Content Digest
bCn4A5a8AzKBiRx…MAnDSXJdBDeNSII