COSA E' UN ATTACCO DoS

Con la sigla DoS ( Denial of Service) il cui significato in italiano è "negazione di servizio" indichiamo una particolare procedura di attacco, volta a esaurire le risorse di un server o un sito web basato su protocollo TCP, in modo che questo non possa più erogare alcun servizio al richiedente e in alcuni casi può renderlo non raggiungibile. Il metodo di attacco è essenzialmente semplice e consiste nell'invio da parte di chi porta l'attacco di pacchetti di richiesta continui al server o al sito web fino a renderlo instabile.
Esistono due modi di sferrare questo attacco: il primo tipo si ha quando l'attaccante agisce direttamente con l'obbiettivo scelto, l'altro un po' più complesso e molto più potente, si ha quando chi sferra l'attacco agisce in maniera indiretta, avvalendosi di altri computer nella rete di utenti inconsapevoli infettati in precedenza con virus o worm che vengono definiti zombie e in questo caso parleremo di attacco DDoS ( Distributed Denial of Service). Questa particolare condizione di zombie sparsi nella rete da vita ad un sistema chiamato botnet. Durante l'attacco gli zombie si possono dividere in due categorie: master e slave. Tra i due tipi di zombie non vi è alcuna differenza, tranne il fatto che il primo tipo gestisce il secondo, tutto questo per rendere difficile l'identificazione del punto di partenza dell' attacco.

Schema di un attacco DDoS

Un altro tipo di questi attacchi è il DRDoS (Distributed Reflection Denial of Service) che il suo operato è ancora più potente e ancora più complesso da scoprire, difatti oltre che agli zombie master e slave, si aggiunge un altro livello formato da i reflector o riflettori i quali hanno il compito di rispondere direttamente alla vittima con i falsi pacchetti che gli slave gestiti dai master inviano con l'indirizzo IP dell'obbiettivo dell'attacco.

Schema di un attacco DRDoS

Questi tipi di attacchi venivano e vengono tutt'oggi svolti da parte di cracker, per esprimere un dissenso verso aziende commerciali prese di mira o istituzioni che secondo il loro giudizio operano ingiustamente.

QUALI SONO LE DIFFERENZE TRA HACKER E CRACKER

Nel nostro immaginario collettivo la figura dell'hacker è spesso rivolta a colui che, chiuso nella sua stanza davanti ad un computer è intento a rubare password, violare sistemi e creare virus. Nella verità è un po' diverso e bisognerebbe chiarire qualche punto. La figura dell'hacker corrisponde a colui che ha un'ottima conoscenza informatica e che è vero, si intromette nei sistemi informatici, ma non per procurare danni o per trarne vantaggi personali, ma ben si per arricchire la propria conoscenza, studiando eventuali vulnerabilità dei sistemi, lasciando inalterato ciò che trova e sfidando
sempre se stesso per affinare le proprie capacità. Il mondo dell'hacker è scandito da un'etica morale e professionale che ha radici profonde, che nascono da tempi lontani.
Un hacker può essere definito anche un white hat (cappello bianco) o ethical hacker (hacker etico) il quale scopo è verificare l'affidabilità di una rete o di un sistema, analizzando i rischi della vulnerabilità e proporre soluzioni migliorative attraverso un processo chiamato penetration test. Tale procedura viene pianificata in precedenza con il proprietario della rete o del sistema. Il penetration test può essere eseguito in due diverse modalità: in black box quando l'operatore non conosce niente dell'intero sistema quindi agisce al "buio", in white box quando l'operatore conosce determinate caratteristiche del sistema.

Il termine cracker invece definisce l'esatto contrario dell'hacker, è un soggetto con conoscenze informatiche avanzate, ma sfrutta queste doti per violare sistemi informatici, per distruggere, alterare o rubare dati sensibili allo scopo di trarne un profitto personale. Spesso sono chiamati anche black hat (cappelli neri) veri e propri criminali informatici. Nella loro ideologia non esiste mettere al servizio della collettività le loro conoscenze informatiche, anzi le tengono strettamente riservate, per non condividere con nessuno eventuali vantaggi eventualmente acquisiti.

Esiste anche un termine che a volte sentiamo dire o troviamo scritto ovvero lamer. Con questa parola identifichiamo colui che ha scarsissime conoscenze informatiche e che, solo a scopo di vandalismo informatico si diverte a creare danni, usando software già esistenti; questa categoria di solito appartengono i ragazzi adolescenti, che sfoggiano una presunta ma purtroppo inesistente conoscenza.

COSA SONO LE BACKDOOR E I KEYLOGGER

Con il termine backdoor indichiamo delle porte virtuali, che sono considerate come degli ingressi secondari che consentono la violazione di un sistema informatico. Nella legalità le backdoor sono usate da amministratori di sistema o della sicurezza, per controllare il corretto funzionamento o agire per correggere malfunzionamenti da computer remoto. Con l'uso illegale invece, permettono ad un malintenzionato di prendere il controllo da remoto di un computer o entrare in un sistema. Spesso sono veicolate ed inserite attraverso programmi malevoli come: trojan, virus o worm. 
Le backdoor hanno la capacità di essere invisibili all'utente colpito e approntare attacchi ai più svariati sistemi di protezione come gli antivirus.

La parola keylogger indica un dispositivo fisico o un programma informatico, che consente la lettura da parte di terze persone di tutto ciò che viene digitato su una tastiera di un computer.
Il keylogger hardware quindi fisico, viene installato o all'interno o all'esterno del computer e può avere una forma tipo spinotto. Il suo funzionamento è molto semplice, al momento della sessione di lavoro comincia a memorizzare tutto quello che viene digitato sulla tastiera.
Il keylogger di tipo software è un programma in esecuzione, non ha grandi differenze dal precedente, può essere installato anche dal legittimo proprietario del computer se lo ha in condivisione con altri utenti, per controllare come viene utilizzato, ad esempio nelle famiglie con utenti di minore età. La particolarità però di questi programmi è che possono essere installati per scopi illegali e meno nobili da parte di trojan (programma malevolo), al fine di inviare a un computer remoto tutto quello che è stato digitato sulla tastiera, consentendo ad un malintenzionato di entrare in possesso di eventuali password o dati sensibili.

CHE COSA E' LO SNIFFING E COME VIENE USATO NELLE RETI LAN.

Il termine Sniffing che deriva dalla lingua inglese che vuol dire "odorare", indica una tecnica di attacco informatico, che consiste nell'intercettare passivamente le informazioni che transitano sotto forma di pacchetti all'interno di reti o sistemi informatici. Questa tecnica non sempre è usata per scopi illegali, come ad esempio intercettazione di password, ma può essere usata in maniera lecita da parte di amministratori di rete per controllare il corretto funzionamento o rilevare eventuali problemi all'interno della rete. Questa tecnica viene messa in atto attraverso dei software chiamati sniffer, che hanno lo scopo di catturare i pacchetti che transitano all'interno di una rete ed analizzarli per renderli comprensibili a noi umani. Più computer collegati tra di loro formano un network. Esistono vari tipi di reti:

LAN (local area network)
CAN (campus area network)
MAN (metropolitan area network)
WAN (wide area network)

Quella che prenderemo in esame è la LAN.

Esempio di rete LAN

Reti LAN 
Le reti LAN (local area network) sono reti di collegamento tra più computer di dimensioni limitate, come ad esempio un'abitazione, un ufficio, un'azienda o un palazzo. Solitamente queste reti hanno una connessione di tipo ethernet (via cavo) che identificano i computer non solo attraverso l'indirizzo IP locale ma anche attraverso un indirizzo a 48 bit chiamato indirizzo MAC il quale ha la funzione di riconoscere in modo sicuro un determinato computer nella rete .Una LAN, può essere  di due tipi: 1)rete con hub, 2)rete con switch.
Rete con hub: è gestita da un dispositivo, il quale smista i pacchetti a tutti i computer presenti nella rete, le schede di rete di ogni computer a sua volta selezionano il pacchetto a loro destinato.
Rete con switch: è gestita da un dispositivo che a differenza del precedente, smista i pacchetti direttamente canalizzandoli ad ogni computer di pertinenza.
Le reti gestite da un hub sono più vulnerabili poichè possiamo intercettare come visto in precedenza tutti i pacchetti destinati a tutti gli altri computer. Nelle reti gestite da switch invece è un pò più complesso visto che i pacchetti sono destinati solo a quel computer. Tuttavia esiste una tecnica avanzata chiamata arp spoofing che consente l'intercettazione di pacchetti destinati anche agli altri computer. Il protocollo arp in una rete ha lo scopo di dare la giusta coordinazione tra l'indirizzo ip locale e l'indirizzo mac. Con il termine spoofing si intende una tecnica di camuffamento d'identita' a livello informatico, dunque la tecnica dell' arp spoofing non è altro che una falsificazione del protocollo arp.
In poche parole è un invio di pacchetti falsificati dove un computer riceve dei pacchetti arp e la risposta a seguito di tali pacchetti, invece che tornare al computer d'origine, arriva al computer che si è intromesso nella comunicazione. Un esempio pratico: A e B stanno comunicando tra loro, C vuole intromettersi per intercettare la comunicazione, quindi C dovrà fare in modo di interporsi falsificando il suo arp in modo che A sia convinto di comunicare con B e quest'ultimo di parlare con A. Questo tipo di attacco prende il nome di man in middle che in italiano significa "uomo di mezzo".

Esempio di attacco Man in middle

CHE COSA VUOL DIRE SOCIAL ENGINEERING

Il termine social engineering indica una particolare tecnica di attacco informatico, particolare perchè come dice il nome stesso che deriva dalla lingua inglese e che tradotto vuol dire ingegneria sociale, sfrutta delle leve psicologiche che unite a tecniche informatiche hanno lo scopo di carpire informazioni o dati sensibili. Tali leve ruotano intorno a stati emotivi dell'essere umano, tra le più importanti troviamo la curiosità la paura, la superficialità ed i desideri o bisogni. Il fenomeno è molto frequente on-line, dato che colpisce spesso i servizi di posta elettronica e in alcuni casi si diffonde attraverso informazioni pubblicitarie. Analizziamo ora nello specifico i vari casi.

Curiosità: in questo caso l'utente davanti a pubblicità allettanti oppure leggendo e-mail con allegati invitanti, ad esempio proposte di incontri, guadagni facili, e ricche vincite è indotto a aprire i contenuti, autorizzando così l'accesso nel computer di programmi spia, virus o trojan.

Paura: un esempio lampante è l'invio di false e-mail generate ad arte, dove un presunto istituto di credito richiede dei dati specifici all'utente al seguito di un errore nel sistema della banca stessa.

La superficialità: è un atteggiamento derivante dalla mancata conoscenza dell'esistenza di tale tecnica di attacco e dal non tener conto delle conseguenze che ne scaturiscono.

Desideri o bisogni: è l'esempio che spesso si verifica tra utenti che magari annoiati dalla routine giornaliera cercano chat di incontri o siti di natura sessuale. Spesso questi siti, tramite richieste di iscrizioni e quindi di rilascio informazioni come ad esempio indirizzi e-mail, danno vita all'arrivo insistente di spam (posta indesiderata) .


Il social engineering può essere volto anche ad attacchi più complessi nei riguardi di aziende di medie e grandi dimensioni. Le tecniche in questo caso possono essere più complesse e hanno bisogno da parte di chi tenta l'attacco di una pianificazione meticolosa. Di solito la fase di partenza dell'attacco analizza in maniera approfondita il sito internet dell'azienda target, dove si possono trovare informazioni importanti, come ad esempio: nomi di responsabili, numeri di telefono della reception, amministratori; poiché proprio da queste informazioni parte il lavoro per arrivare a conoscere l'interno dell'obiettivo. In alcuni casi, colui che tenta l'attacco, trova il modo di esaminare vecchi documenti buttati nell'immondizia alla ricerca di password appuntate su pezzi di carta, registri o nominativi del personale, oppure cerca di individuare e avvicinare un dipendente vittima, definito "anello debole" spacciandosi per un'altra persona al fine di reperire informazioni. Un altro modo per tentare di recuperare informazioni sensibili, è la telefonata fatta alla reception o al centralino nelle false vesti di un tecnico cercando così, il referente o l'amministratore della rete informatica aziendale.
Come si può notare, il social engineering ha di fatto una matrice prettamente psicologica, in definitiva si può considerare un' arte dell'inganno.

QUALI SONO GLI OBIETTIVI DELLA SICUREZZA INFORMATICA.

Con la terminologia sicurezza informatica, indichiamo quel ramo dell'informatica che si occupa principalmente di contrastare attraverso analisi e azioni, eventuali attacchi ai sistemi informatici. Gli obiettivi di questa branca dell'informatica sono essenzialmente i seguenti: integrità, confidenzialità, autenticazione e disponibilità; analizziamole

Integrità: con tale termine intendiamo che qualsiasi dato informatico deve essere per l'utente autorizzato, sempre protetto e mai alterato sia per cause accidentali che per dolo.

Confidenzialità: questo termine indica che qualsiasi informazione che passa da un utente autorizzato all'altro deve essere adeguatamente riservata e visibile solo ad essi.

Autenticazione: è la fase in cui un sistema informatico, computer o utente accerta la giusta identità di un altro sistema informatico, computer o utente e facendo si che l'informazione appartenga in maniera genuina a tale fonte.

Disponibilità: è la fase in cui un sistema informatico o un computer assicura al richiedente l'informazione o il servizio.


Una giusta valutazione e analisi dei rischi che possono incombere su un sistema, permette di individuare tali minacce in:

Guasti hardware: quando si danneggia materialmente un computer in una delle sue parti fisiche.

Guasti software: quando un programma non funziona correttamente.

Errore umano: capita che, lavorando possiamo sbagliare qualcosa che può compromettere o danneggiare anche se lievemente un sistema.

Fattore di vulnerabilità: ovvero quanto un sistema possa essere esposto a minacce di ogni genere.

A tale proposito possiamo attuare alcune azioni per difendere il sistema quali:

Difese attive o dirette: si tratta di procedimenti effettuati direttamente sul sistema o computer come ad esempio password di protezione, gestione degli accessi da parte degli utenti e software di sicurezza.

Difese passive: nello specifico sono tecniche che hanno lo scopo di limitare l'uso di un determinato sistema o computer; esempio il controllo di locali e porte chiuse in determinate zone.

Dopo quello che abbiamo visto, bisogna fare però una distinzione; le cose cambiano da un singolo utente in casa sua con la rete domestica, rispetto ad una azienda di medie e grandi dimensioni con dipendenti, più postazioni di lavoro, numerosi computer e server. Per un utente privato bastano le principali azioni base di sicurezza, per un' azienda invece occorre avere un protocollo di sicurezza adeguato, per rispondere a delle normative imposte dagli standard ISO.

LE MINACCE INFORMATICHE

Con l'uso crescente del computer e di conseguenza di internet, sentiamo parlare sempre più spesso di VIRUS ma bisogna fare attenzione perchè molte volte questo termine è impropriamente usato. Cerchiamo di inquadrare in maniera semplice e più chiara possibile le varie categorie di queste temute minacce. Con il termine MALWARE  parola inglese composta da malicious e software (in italiano programma malvagio) indichiamo l'insieme di tutti i programmi maligni che possono attaccare il nostro computer. All'interno di questo insieme troviamo delle categorie che si differenziano tra di loro per caratteristiche e comportamenti.


VIRUS: sono dei frammenti di codice che in base a quello che vanno ad infettare una volta eseguiti dall'utente possono essere classificati. Fondamentalmente si dividono in tre tipi più importanti;1)VIRUS DI FILE, chiamati così perchè vanno a sostituirsi ai file e una volta che l'utente andrà ad eseguire quel programma in realtà partirà il virus.2)VIRUS DI BOOT, chiamati così perchè a differenza dei primi vanno ad infestare il SECTOR BOOT E IL MASTER BOOT RECORD che non sono altro che zone dell'hard disk che contengono tutte quelle informazioni per avviare il sistema operativo; in questo modo ogni volta che si avvia il sistema operativo iniziano a lavorare.3)VIRUS MULTIPARTITI sono chiamati così perchè contengono entrambe le caratteristiche dei virus di file e dei virus di boot. Il contagio in ogni caso avviene nell'eseguire o file infetti o dischi e chiavette usb già compromessi.

WORMS: sono anch'essi frammenti di codice ma con una sostanziale differenza, ovvero sono autonomi e agiscono in memoria consumando risorse al computer e propagandosi all'interno di più sistemi, provocando malfunzionamenti e instabilità al sistema. Essi per contagiare hanno bisogno di internet o reti locali aziendali e reti domestiche.

SPYWARE: sono veri e propri programmi che hanno lo scopo principale di spiare le abitudini online dell'utente senza il consenso di quest'ultimo, tracciarne un profilo di navigazione e reindirizzarlo ad un server remoto dando vita al fenomeno dello SPAM (pubblicità spazzatura o indesiderata).

TROJAN: anche questi sono programmi ma molto più dannosi e pericolosi. Prendono il loro nome dal famoso stratagemma di Ulisse per conquistare la città di Troia, infatti sono programmi all'interno di altri programmi all'apparenza innocui, ma che in realtà nascondono il vero fine che è quello di far prendere il comando remoto del computer da parte di terzi. Le funzionalità sono molteplici, partendo da  rilevare i file presenti nell'hard disk, alla distruzione di dati fino ad arrivare all'inserimento del computer all'interno di un network più vasto volto ad attacchi informatici, questa condizione definisce un computer come zombie.


Dopo aver trattato in maniera semplice le principali categorie di minacce, possiamo vedere come combatterle con una giusta configurazione del computer e con alcuni consigli utili, iniziando da l' ANTIVIRUS, freeware o shareware sarà l'utente a sceglierlo. Freeware ce ne sono molti tutti abbastanza validi ma il consiglio che posso dare e di sceglierne uno che non abbia un elevato consumo della memoria, che abbia una adeguata protezione per e-mail e che abbia un alto tasso detentivo di minacce. Uno strumento da affiancare a l'antivirus è un buon ANTISPYWARE, è importante che abbia una ricerca efficiente, protezione in tempo reale e aggiornamenti regolari. Per chiudere il ciclo un FIREWALL è quello che ci vuole, windows 7 ad esempio lo ha già attivo come impostazione predefinita, però per chi non si accontentasse ne può trovare molti da scaricare e provare. Per quanto riguarda i consigli utili che mi sento di dare sono: 1) Non installare mai software di dubbia provenienza.2) Non aprire mai allegati di posta elettronica se non da mittenti fidati e conosciuti.3)Non visitare siti non attendibili.