Elementi di sicurezza: gli attacchi ai sistemi informativi

Nella societa’ della comunicazione il valore e la riservatezza delle informazioni riveste un ruolo sempre piu’ importante. Di conseguenza la sicurezza dei dati, in tutte le sue forme, e’ un aspetto fondamentale per la gestione e l’utilizzo di un Sistema Informativo.

Il controllo del livello di sicurezza di un Sistema richiede competenze tecniche specifiche e capacita’ specialistiche tali da rendere massimo il livello delle verifiche da effettuare sul Sistema. Inoltre e’ necessario un costante aggiornamento sulle possibili tipologie di crimini informatici e sulle tecniche di protezione.

In questo documento vengono esaminati, sebbene brevemente, le finalita' dei controlli di sicurezza e le principali categorie di attacchi ai sistemi informativi.


Finalita' dei controlli di sicurezza

La sicurezza di un Sistema deve essere assicurata per evitare:

La sicurezza di un Sistema viene assicurata mediante un insieme coordinato di azioni:

Un Sistema non puo’ venire definito sicuro in termini assoluti. Esiste sempre, almeno teoricamente con probabilita’ non nulla, un modalita’ di accesso al Sistema. Un sistema sicuro e' un sistema spento: anche questa battuta presenta un rischio... forse qualcuno puo' riaccenderlo!

Inoltre l’innalzamento dei livelli di sicurezza di un Sistema corrisponde generalmente con una maggior difficolta’ nella generazione e scambio di informazioni (attivita’ per cui viene generalmente utilizzato il Sistema).

L’obiettivo preposto di operare in un Sistema "sicuro" deve necessariamente trovare un giusto bilanciamento tra questi diversi requisiti.


Tipologie di crimini informatici

In generale, l’obiettivo di un crimine informatico è l’attacco alle risorse di un Sistema Informativo, provocando una perdita di integrità, oppure la perdita di riservatezza, oppure una violazione sulle autorizzazioni previste per uso del Sistema stesso. Coloro che effettuano tali tipologie di violazione sono comunemente denominati hacker [NdE termine in realta' improprio perche' di per se l'hacking e' una tecnica e puo' essere utilizzata anche per fini positivi].

Le tipologie di attacco riguardano essenzialmente :

Sabotaggio

Una qualsiasi iniziativa od azione di disturbo atta ad ostacolare il normale svolgimento del lavoro.

Il sabotaggio può essere classificato in:

Intrusione e Sostituzione di Identità

L’intrusione o sostituzione di identita’ puo’ essere:

La diffusione del WWW e dei social network ha portato ad esplosione di tali fenomeni.

Falsificazione dei dati

Si tratta di un processo di alterazione dei dati che ha luogo o prima che i dati stessi vengano inseriti all’interno di un Sistema di elaborazione, o direttamente all’interno di un Sistema di elaborazione oppure successivamente alla loro emissione.

Aggiramento

Esecuzione non autorizzata di programmi di utilità al fine di modificare, distruggere, copiare, aprire, inserire, usare o negarne l’uso di dati memorizzati all’interno di un elaboratore.

Ricerca fraudolenta di informazioni

Acquisizione di informazioni o residenti all’interno dell’elaboratore oppure rilasciate al termine dell’esecuzione di una elaborazione di una procedura.

Può essere di tipo:

Intercettazione

Riguarda i messaggi trasmessi sui sistemi di comunicazione.

Può essere di tipo:

Backdoor

Normalmente le backdoor o "Porte di Servizio" sono dei meccanismi inseriti nell’Hardware o nel Software utili ai progettisti di procedure complesse durante la fase di sviluppo.

Tali strutture sono talvolta causa di vulnerabilità del Sistema di elaborazione.

Cavallo di troia (Trojan)

Generalmente un Cavallo di Troia e' un software progettato in modo da avere una parte di codice destinata all’esecuzione di una funzione applicativa di utilità, ed una parte destinata all’esecuzione di funzioni fraudolente.

Denial of service attack (DOS)

Detto di un attacco che semplicemente vuole bloccare un servizio agli utenti (quindi senza furto/sostituzione di informazioni). Si tratta spesso di attacchi stupidi ma semplici da effettuare (broadcast storm, ping) e contro i quali esistono poche difese.

Bomba logica

E’ tipicamente codice applicativo che viene eseguito al verificarsi di condizioni prestabilite con intenti di determinare nuove condizioni e o stati del Sistema che facilitino la perpetrazione di azioni non autorizzate.

Virus

Si tratta di codice applicativo in grado di "infettare" altri programmi presenti sul calcolatore preso di mira. Ogni programma infettato puo' contagiarne altri e spesso lo fa in in modo molto aggressivo (R0 elevato); in questo modo si diffonde all’interno del Sistema e/o ancor peggio all’interno della rete di interconnesione.

Rootkit

Un rootkit si sostituisce al sistema operativo o a parti di esso per rendere invisibile la sua presenza ed le sue attivita'.

Arrotondamento

E’ una delle tecniche più specifiche applicata solo ad Organizzazioni Finanziarie ed ha lo scopo di effettuare furto di piccole somme da un elevato numero di fonti presenti sull’Elaboratore.

SQL injection

Particolare tipo di attacco che mira a sostituire le istruzioni SQL con un proprio codice. Molto diffuso sulle piattaforme LAMP non aggiornate.

Worm

Si tratta di un programma che non e' in grado di infettare altri programmi (come invece fanno i virus) ma puo' moltiplicarsi in modo non controllabile e creare danni per il rallentamento dei sistemi o della rete colpiti. Sono comuni i worm sui servizi di mail.

Catena di Sant'Antonio

Un effetto simile ai worm e' provocato anche da semplici mail che suggeriscono l'invio di altre email a chi le riceve. In questo caso si fa leva sulla stupidita' umana per la trasmissione di un numero enorme di email.

Firing

E’ detto firing l'accedere in modo eccessivo e provocato ad un sito o ad un servizio web in modo da provocarne il blocco.

Spamming

E’ detto spamming l'invio massivo di email (spesso pubblicitarie o provocatorie) tipicamente sotto falso nome. Una singola email e' chiamata SPAM (parola dall'etimologia curiosa).

Attacco asincrono

L’attacco asincrono consiste nel cambiare l’ordine o nel ripetere determinate funzioni allo scopo di aggirare i controlli del Sistema Operativo o del software di rete.

Attacco DNS

Con un attacco DNS vengono sostituiti i Domain Name Server per far indirizzare le richieste verso altri server o siti. A piu' basso livello si puo' agire con un Routing attack che modifica i router attraverso i quali vengono smistati i pacchetti di rete.

Ransomware

In questo caso il termine si riferisce piu' al fine che alla tecnica utilizzata. Il fine e' quello di ricattare le vittime per chiedere un riscatto (ransom) tipicamente con una criptovaluta. Dal punto di vista tecnico vengono utilizzati virus o backdoor per inserirsi sui computer e crittografare i file. I file verranno decrittografati solo dopo il pagamento [NdA ma spesso neanche dopo il pagamento].

Data Poisoning

Consiste nell'alterare i dati spesso in modo molto sottile e difficimente rilevabile. In alcuni casi e' un effetto voluto (eg. inserire nominativi civetta in una lista, diminuire la qualita' dei dati del GPS) in altri si tratta di un vero e proprio attacco. E' un tipo di adversarial attack divenuto piu' frequente di recente perche' puo' essere rivolto ad ingannare gli algoritmi di apprendimento delle AI (Intelligenze Artificiali).

Bug

Ultimo, ma non da ultimo riportiamo quello che non e' un attacco ma solo un difetto.
L'origine e' storica: davvero e' stato trovato un insetto che alterava il funzionamento di un calcolatore ed e' stato riportato in un log! Il termine bug e' divenuto poi di uso piu' generale per indicare un qualsiasi tipo di difetto HW o SW. Spesso gli attacchi informatici sfruttano un bug di sicurezza per attivarsi o per aumentare la loro portata.
Per questo l'aggiornamento costante ed attento di tutti i componenti dei sistemi informativi e' una delle misure piu' efficaci per la protezione dagli attacchi informatici.


Testo: Elementi di sicurezza: gli attacchi ai sistemi informativi
Data: 25 Giugno 1997
Aggiornamento: 31 Ottobre 2020
Versione: 1.0.2
Autore: mail@meo.bogliolo.name