Nella societa' della comunicazione il valore e la riservatezza delle informazioni riveste un ruolo sempre piu' importante. Di conseguenza la sicurezza dei dati, in tutte le sue forme, e' un aspetto fondamentale per la gestione e l'utilizzo di un Sistema Informativo.

Il controllo del livello di sicurezza di un Sistema richiede competenze tecniche specifiche e capacita' specialistiche tali da rendere massimo il livello delle verifiche da effettuare sul Sistema. Inoltre e' necessario un costante aggiornamento sulle possibili tipologie di crimini informatici e sulle tecniche di protezione.

In questo documento vengono esaminati, sebbene brevemente, le finalita' dei controlli di sicurezza e le principali categorie di attacchi ai sistemi informativi.

La sicurezza di un Sistema deve essere assicurata per evitare:

• Il blocco delle attivita' del Sistema o il degrado delle prestazioni dovuto ad un utilizzo non autorizzato.
• Il furto, la modifica o la distruzione di informazioni.
• Il furto, la modifica o la distruzione di programmi. La modifica dei programmi puo' essere effettuata per "sproteggere" ulteriormente il Sistema ospite.

La sicurezza di un Sistema viene assicurata mediante un insieme coordinato di azioni:

• Definizione delle procedure di sicurezza e degli accessi del personale.
• Utilizzo di strumenti di sicurezza software.
• Garanzia della sicurezza fisica.
• Garanzia delle sicurezza sulle linee di comunicazione.

Un Sistema non puo' venire definito sicuro in termini assoluti. Esiste sempre, almeno teoricamente con probabilita' non nulla, un modalita' di accesso al Sistema. Un sistema sicuro e' un sistema spento: anche questa battuta presenta un rischio... forse qualcuno puo' riaccenderlo!

Inoltre l'innalzamento dei livelli di sicurezza di un Sistema corrisponde generalmente con una maggior difficolta' nella generazione e scambio di informazioni (attivita' per cui viene generalmente utilizzato il Sistema).

L'obiettivo preposto di operare in un Sistema "sicuro" deve necessariamente trovare un giusto bilanciamento tra questi diversi requisiti.

In generale, l'obiettivo di un crimine informatico e' l'attacco alle risorse di un Sistema Informativo, provocando una perdita di integrita', oppure la perdita di riservatezza, oppure una violazione sulle autorizzazioni previste per uso del Sistema stesso. Coloro che effettuano tali tipologie di violazione sono comunemente denominati hacker [NdE termine in realta' improprio perche' di per se l'hacking e' una tecnica e puo' essere utilizzata anche per fini positivi].

Le tipologie di attacco riguardano essenzialmente :

• Hardware: Gli attacchi intenzionali nei confronti dell'hardware si risolvono, in genere, nella distruzione e nel furto delle apparecchiature o dei supporti.
• Software: Il software puo' essere sottratto, cancellato o modificato.
Le modifiche apportate sono facilmente rilevabili se impediscono il funzionamento del programma, ma risultano piu' complesse da scoprire se sono costituite da istruzioni eseguite solamente in determinate circostanze, o se le stesse costituiscono un'estensione delle funzionalita' del programma.
• Dati: Gli attacchi ai dati consistono generalmente in letture o modifiche non autorizzate, oppure ottenute anche attraverso l'inserimento di programmi fraudolenti nel Sistema Informativo.

Una qualsiasi iniziativa od azione di disturbo atta ad ostacolare il normale svolgimento del lavoro.

Il sabotaggio puo' essere classificato in:

• Fisico: Si pone come obiettivo il danneggiamento fisico delle risorse.
• Logico: Si pone come obiettivo il danneggiamento logico delle risorse. (Es. Sostituzione e/o modifica delle etichette esterne dei supporti magnetici).
• Psicologico: Si pone come obbiettivo il logoramento psicologico dell'utente. (Es. Far suonare a vuoto degli allarmi con l'intento di condurre l'utente al loro disinserimento).

L'intrusione o sostituzione di identita' puo' essere:

• Fisica: Guadagnare l'accesso fisico ad aree controllate.
• Logica: Attuata, in modo fraudolento, da un terminale collegato al Sistema assumendone i diritti relativi all'utenza eventualmente lasciata attiva.

La diffusione del WWW e dei social network ha portato ad esplosione di tali fenomeni.

Si tratta di un processo di alterazione dei dati che ha luogo o prima che i dati stessi vengano inseriti all'interno di un Sistema di elaborazione, o direttamente all'interno di un Sistema di elaborazione oppure successivamente alla loro emissione.

Esecuzione non autorizzata di programmi di utilita' al fine di modificare, distruggere, copiare, aprire, inserire, usare o negarne l'uso di dati memorizzati all'interno di un elaboratore.

Acquisizione di informazioni o residenti all'interno dell'elaboratore oppure rilasciate al termine dell'esecuzione di una elaborazione di una procedura.

Puo' essere di tipo:

• Fisica: Ricerca di informazioni memorizzate su materiale tangibile. (Es. Tabulato).
• Logica: Ricerca di informazioni residue nella memoria dell'elaboratore al termine dell'esecuzione di una procedura.

Riguarda i messaggi trasmessi sui sistemi di comunicazione.

Puo' essere di tipo:

• Passivo: L'intercettatore si limita a registrare le informazioni riservate che sono trasmesse sulla rete.
• Attivo: L'intercettatore dopo aver catturato l'informazione la modifica per poi reinserirla all'interno della rete stessa (tampering).

Normalmente le backdoor o "Porte di Servizio" sono dei meccanismi inseriti nell'Hardware o nel Software utili ai progettisti di procedure complesse durante la fase di sviluppo.

Tali strutture sono talvolta causa di vulnerabilita' del Sistema di elaborazione.

Generalmente un Cavallo di Troia e' un software progettato in modo da avere una parte di codice destinata all'esecuzione di una funzione applicativa di utilita', ed una parte destinata all'esecuzione di funzioni fraudolente.

Detto di un attacco che semplicemente vuole bloccare un servizio agli utenti (quindi senza furto/sostituzione di informazioni). Si tratta spesso di attacchi stupidi ma semplici da effettuare (broadcast storm, ping, bug exploit) e contro i quali esistono poche difese. Quando l'attacco e' effettuato da una serie di macchine zombie prende generalmente il nome di DDoS (Distribuited DOS) e spesso l'attacco viene svolto eseguendo accessi perfettamente leciti, quindi non facilmente filtrabili, ma in modo massivo.

E' tipicamente codice applicativo che viene eseguito al verificarsi di condizioni prestabilite con intenti di determinare nuove condizioni e o stati del Sistema che facilitino la perpetrazione di azioni non autorizzate.

Si tratta di codice applicativo in grado di "infettare" altri programmi presenti sul calcolatore preso di mira. Ogni programma infettato puo' contagiarne altri e spesso lo fa in in modo molto aggressivo (R₀ elevato); in questo modo si diffonde all'interno del Sistema e/o ancor peggio all'interno della rete di interconnesione.

Un rootkit si sostituisce al sistema operativo o a parti di esso per rendere invisibile la sua presenza e le sue attivita'. Le tecniche utilizza per nascondere la sua attivita' sono molto sofisticate: processi nascosti, connessioni di rete attivate con il knocking, crittografia, ...

E' una delle tecniche piu' specifiche applicata solo ad Organizzazioni Finanziarie ed ha lo scopo di effettuare furto di piccole somme da un elevato numero di fonti presenti sull'Elaboratore.

Particolare tipo di attacco che mira a sostituire le istruzioni SQL con un proprio codice. Molto diffuso sulle piattaforme LAMP non aggiornate.

Si tratta di un programma che non e' in grado di infettare altri programmi (come invece fanno i virus) ma puo' moltiplicarsi in modo non controllabile e creare danni per il rallentamento dei sistemi o della rete colpiti. Sono comuni i worm sui servizi di mail.

Un effetto simile ai worm e' provocato anche da semplici mail che suggeriscono l'invio di altre email a chi le riceve. In questo caso si fa leva sulla stupidita' umana per la trasmissione di un numero enorme di email.

E' detto firing l'accedere in modo eccessivo e provocato ad un sito o ad un servizio web in modo da provocarne il blocco.

E' detto spamming l'invio massivo di email (spesso pubblicitarie o provocatorie) tipicamente sotto falso nome. Una singola email e' chiamata SPAM (parola dall'etimologia curiosa).

L'attacco asincrono consiste nel cambiare l'ordine o nel ripetere determinate funzioni allo scopo di aggirare i controlli del Sistema Operativo o del software di rete.

Con un attacco DNS vengono sostituiti i Domain Name Server per far indirizzare le richieste verso altri server o siti. A piu' basso livello si puo' agire con un Routing attack che modifica i router attraverso i quali vengono smistati i pacchetti di rete.

In questo caso il termine si riferisce piu' al fine che alla tecnica utilizzata. Il fine e' quello di ricattare le vittime per chiedere un riscatto (ransom) tipicamente con una criptovaluta. Dal punto di vista tecnico vengono utilizzati virus o backdoor per inserirsi sui computer e crittografare i file. I file verranno decrittografati solo dopo il pagamento ed aver ricevuto la chiave per la decodifica dei dati [NdA ma spesso dopo il pagamento non si riceve affatto la chiave e si e' beffati due volte].

L'avvento delle criptovalute ha portato ad una nuova forma di crimini: il payload delle macchine violate esegue il mining di criptovalute (eg. Monero).

Consiste nell'alterare i dati spesso in modo molto sottile e difficimente rilevabile. In alcuni casi e' un effetto voluto (eg. inserire nominativi civetta in una lista, diminuire la qualita' dei dati del GPS) in altri si tratta di un vero e proprio attacco. E' un tipo di adversarial attack divenuto piu' frequente di recente perche' puo' essere rivolto ad ingannare gli algoritmi di apprendimento delle AI (Intelligenze Artificiali).

Ultimo, ma non da ultimo riportiamo quello che non e' un attacco ma solo un difetto.
L'origine e' storica: davvero e' stato trovato un insetto che alterava il funzionamento di un calcolatore ed e' stato riportato in un log! Il termine bug e' divenuto poi di uso piu' generale per indicare un qualsiasi tipo di difetto HW o SW. Spesso gli attacchi informatici sfruttano un bug di sicurezza per attivarsi o per aumentare la loro portata.
Per questo l'aggiornamento costante ed attento di tutti i componenti dei sistemi informativi e' una delle misure piu' efficaci per la protezione dagli attacchi informatici.

Testo: Elementi di sicurezza: gli attacchi ai sistemi informativi
Data: 25 Giugno 1997
Aggiornamento: 31 Ottobre 2020
Versione: 1.0.2
Autore: mail@meo.bogliolo.name

Ho scritto questa pagina oltre vent'anni fa ma e' ancora terribilmente attuale. Anzi la superficie d'attacco e' cresciuta moltissimo e gli attacchi sono molto, molto piu' frequenti: