Perché un software è vulnerabile
Un sistema operativo, o qualsiasi
altro software, è il prodotto di decine di migliaia di ore di lavoro ed è
costituito da milioni di righe di codice, ma non è certo intenzione degli
sviluppatori scrivere software non sicuri. Una semplice svista o un bug possono
fornire un punto di accesso inatteso ad un sistema altrimenti sicuro.
Sviluppare software privo di bug o imperfezioni è praticamente impossibile, ma
non per questo non si debba continuare a tentare di rendere un software il più
sicuro possibile.
Più un programma software è conosciuto e
diffuso, più è oggetto di attacchi informatici. Tra hacker e sviluppatori vi è
una continua lotta i primi cercano di sfruttare i bug presenti in un software,
i secondi cercano di porvi rimedio tentando di eliminare tali bug. Motivo per
il quale vengono rilasciati aggiornamenti, patch, hotfix proprio per eliminare
questi difetti e rendere sempre più affidabili i propri software.
I motivi per i quali gli hacker compiono
determinate azioni possono essere di varia natura (profitto, dolo, gloria) di
solito è quest'ultima motivazione che gli spinge a compiere tali azioni, ma le
modalità operativi sono le stesse qualsiasi sia la motivazione che spinge loro.
Le minacce più comuni, usati dagli hacker, sono di vario tipo ciascuna delle
quali ha diverse varianti:
. Spoofing. Questo tipo di minaccia si manifesta in diversi modi.
Lo spoofing degli IP consiste nell'invio di pacchetti che sembrano provenire da
un indirizzo IP diverso da quello reale. Questa tecnica viene di solito
utilizzata, principalmente, nel caso di attacchi unilaterali (attacchi DoS).
Camuffando l'indirizzo reale, ad esempio in un indirizzo utilizzato di una rete
locale, possono tranquillamente aggirare le varie protezioni del firewall
concepite per difendere la rete da attacchi esterni. Tutti gli attacchi
condotti utilizzando la tecnica dello spoofing, sono difficili da individuaree
richiedono tutta l'abilità e i mezzi necessari per monitorare e analizzare i
pacchetti di dati. Esiste anche una tecnica di spoofing delle mail e, consiste
nella composizione di un messaggio e-mail il cui campo "Da" non indica
l'effettivo indirizzo del mittente. Un esempio di tale tecnica si è avuta nel
2003, quando su internet circolavano una serie di messaggi e-mail, fasulli
ovviamente, che sembravano contenere un annuncio ufficiale di aggiornamenti
alla protezione da parte di Microsoft e che contenevano un falso indirizzo
e-mail Microsoft. A tal proposito vi consiglio sempre di verificare l'indirizzo
del mittente nelle mail che ricevete, magari aggiungendo quello vero nella
vostra rubrica, di modo che all'arrivo di un messaggio fasullo potete
verificare l'indirizzo mail del mittente con quello memorizzato nella vostra
rubrica e se non vi dovesse convincere o risultare non identico, scartate il
messaggio e non eseguite nessuna operazione richiesta nel messaggio tantomeno
aprire eventuali allegati. Altro consiglio è di fornirvi di un antivirus con il
controllo delle mail e dei vari allegati contenti. Questi consigli non
escludono la possibilità di annullare completamente i rischi ma, quanto meno
possono servire a ridurre le probabilità che tali attacchi vadano a buon fine.
. Manomissione. Questa tecnica consiste nel modificare il contenuto
dei pacchetti trasmessi in rete oppure nel modificare i dati registrati sui
dischi rigidi dei computer dopo che la sicurezza della rete è stata violata. Di
solito, per eseguire tale tecnica, gli hacker inseriscono una presa su una rete
per intercettare i pacchetti in uscita e accedere alle informazioni o
addirittura alterarle quando lasciano la rete.
. Disconoscimento. Il disconoscimento indica la capacità di un
utente di negare, mentendo, di aver commesso azioni che è impossibile provare
altrimenti. Un esempio potrebbe essere quello di un utente che ha eliminato un
file e di negare di essere il responsabile, non potendo dimostrare il contrario
se nell'infrastruttura della rete non sono stati previsti meccanismi di
controllo che possono provare che quel determinato utente ha eseguito quelle
determinate azioni.
. Divulgazioni di informazioni. La divulgazione di informazioni
consiste nell'esporre informazioni a individui che normalmente non vi avrebbero
accesso.
. Attacchi DoS (Denial of Service). Questo tipo di attacco sono dei
veri e propri assalti ai sistemi informatici, lanciati da un attacker, con lo
scopo di sovraccaricare o interrompere un determinato servizio di rete. Ad
esempio, a seguito di un attacco DoS, un server potrebbe essere così impegnato
a rispondere a richieste, eseguite tramite attacchi DoS, da ignorare le
richieste di connessioni legittime. Questo tipo di attacchi furono eseguiti nel
2003 avendo come obiettivo i server di Yahoo e Microsoft, nel tentativo di
intasare i loro server.
. Elevazione di privilegi. Questa tecnica è un procedimento
mediante il quale un utente induce un sistema a concedere diritti non
autorizzati, generalmente allo scopo di danneggiare o distruggere il sistema.
Ad esempio, un hacker potrebbe avere accesso ad un sistema tramite un account
guest, ed individuare un punto debole nel software che gli consenta di
modificare i suoi privilegi da guest ad amministratore.
Generalmente gi hacker sfruttano
a loro vantaggio la capacità di elaborazione dei computer, utilizzando un virus
per sferrare un attacco DoS a centinaia di migliaia di computer
contemporaneamente oppure fanno uso di software per individuare delle password
al fine di trovare quella corretta tra tutte le parole di senso compiuto. Le
prime che vengono verificate sono "password", "accesso" e le password che
coincidono con il nome dell'utente. Utilizzano programmi in grado di sondare a
caso tutti gli indirizzi IP presenti su Internet per individuare sistemi non
protetti. Quando uno di questi viene trovato, gli hacker passano alla scansione
delle porte, utilizzando degli scanner, e cercano di individuare una porta
aperta al fine di sferrare il loro attacco. Trovata la porta su cui sferrare
l'attacco, consultano una libreria dei punti deboli più conosciuti per trovare
il modo di accedere al sistema. Nel caso di attacchi più mirati (tipo lo
spionaggio industriale) il metodo più efficace è costituito dall'unione di
tecnologia e ingegneria sociale. Classici esempi possono essere
. Indurre membri del personale a rilevare informazioni riservate o confidenziali
. Esaminare i cestini della carta straccia alla ricerca di informazioni
importanti
. Controllare i bigliettini affissi ai monitor per scoprire le password.
L’importanza della sicurezza
Nel campo della sicurezza, i problemi
maggiori sono dovuti al fatto che nessuno pensa di poter essere vittima di
qualcosa di spiacevole, finche non gli succede. Ma correre al riparo o quando
il danno è stato ormai compiuto è tardi. In base a delle indagini compiute dal
Computer Security Institute, si calcola che il 90% delle grandi aziende e di
enti governativi degli Stati Uniti abbia rilevato, nel 2002, una qualche
violazione del proprio sistema informatico. L’80% di queste aziende ed enti
governativi hanno subito delle perdite finanziare a seguito di queste
violazioni.
Molti proprietari di piccole aziende pensano
di non doversi preoccupare troppo della sicurezza pertanto non adottano misure
di sicurezza adeguate a contrastare eventuali attacchi o violazioni dei propri
sistemi. Pensano che una piccola azienda non costituisca un bersaglio
appetibile rispetto alle grandi aziende. E’ vero che le piccole aziende non
subiscono attacchi con la stessa frequenza di quelle più grandi, ma non per
questo il ragionamento adottato dai titolari di piccole aziende sia privo di
difetti.
Le piccole aziende vengono spesso coinvolte in
attacchi condotti su larga scala, quali la diffusione massiccia di worm o il
tentativo di reperire quanti più numeri di carte di credito possibile. Dato il
progressivo aumento del livello di sicurezza adottato dalle grandi aziende,
quelle più piccole diventano sempre più un bersaglio appetibile per i pirati
informatici.
Indipendentemente dai motivi o dalle
modalità di attacco eseguite dai pirati informatici, le operazioni per
riportare la situazione sotto controllo sono sempre un dispendio di tempo e
risorse. Cosa succederebbe se il tuo sistema informatico fosse fuori uso per
una settimana. Cosa succederebbe se tutti i dati memorizzati su un computer
andassero perduti. Quanto tempo ci vorrebbe prima di rendertene conto? Saresti
in grado di far fronte a delle perdite?
Come la notte non lasciamo la porta del
nostro ufficio aperta, o conserviamo con cura gli oggetti più importanti in
luoghi sicuri, lo stesso vale per i sistemi informatici. E’ sufficiente qualche
accorgimento per limitare la propria vulnerabilità. La protezione al 100% non
può essere garantita, ma comunque è possibile raggiungere un livello di
protezione ragionevole ed essere pronti qualora si verifichino delle
violazioni. Valutare correttamente rischi e conseguenze in rapporto ai costi
della prevenzione è comunque un ottimo inizio.
|