Il furto dell’identità elettronica: Modalità attuative (parte II)

Malicious code.

Questo termine, che ha come sinonimi “malware” e “MMC (Malicious Mobile Code)”, si riferisce a quella famiglia di software che ha come obiettivo il danneggiamento, totale o parziale, o l’alterazione del funzionamento di un sistema informatico/telematico.

Alcune forme di codice malevolo (virus, worm, trojan horse, mass mailing e mixed mmc) sono in grado di autoinstallarsi, autoriprodursi e diffondersi, determinare alterazioni nel corretto funzionamento del sistema, esportare i dati salvati sul proprio p.c. e, persino, prendere il controllo del sistema stesso sfruttando le vulnerabilità presenti nei software di sistema e/o applicativi.

Ai fini di perpetrare il furto di identità elettronica si possono evidenziare principalmente quattro classi di malicious code:

- Spyware: programmi spia, in grado di raccogliere informazioni sul computer infettato e di inviarle anche tramite un proprio motore SMTP al destinatario fraudolento;

- Key-logging: programmi in grado di attivarsi quando l’utente si connette a un sito di una banca o instaura una connessione protetta (https), scritti in modo che registrino i tasti contestualmente digitati dall’utente e che successivamente li rispediscano a un ignoto destinatario;

- Redirector: codice malevolo scritto per reindirizzare il traffico Internet del computer infetto verso indirizzi IP differenti da quelli che si intendevano raggiungere;

- Screeen grabbing: programmi che si attivano con modalità simili a quelle descritte per i key-logger, in grado di effettuare istantanee dello schermo dell’utente quando questo scrive informazioni sensibili sui siti di home-banking e di inviarle successivamente a ignoti tramite un motore SMTP interno.

Contromisure

Si indicano di seguito le principali cautele da adottare per contrastare eventuali infezioni da malicious code:

- utilizzare software “certificato”;

- assegnare al software solo i privilegi minimi necessari;

- innalzare e mantenere elevato il livello di sicurezza delle stazioni di lavoro;

- aggiornare tempestivamente i software anti-virus;

- applicare tempestivamente al software le correzioni (patch) rilasciate dai produttori;

- utilizzare specifici software antivirus in grado di rilevare i malicious code analizzando i flussi informativi in transito o sui sistemi;

- installare e mantenere aggiornato un firewall in grado di verificare il traffico in ingresso e in uscita dal proprio computer;

- sensibilizzare tutto il personale con riferimento ai rischi inerenti all’introduzione di software estraneo sulle postazioni di lavoro.

 Spoofing.

Lo spoofing non rappresenta un attacco nel senso stretto del termine, ma piuttosto una tecnica complementare a vari tipi di attacco. Consiste nel falsificare l’origine della connessione in modo tale da far credere di essere un soggetto/sistema diverso da quello reale.

Le principali tipologie in uso sono:

- User account spoofing: consiste nell’utilizzo della userid e della password di un altro utente senza averne il diritto. Può essere attuato sfruttando comportamenti non corretti degli utenti o utilizzando strumenti quali sniffing e password crackers.

- DNS spoofing: consiste nel sostituirsi a un server DNS lecito nei confronti di un client che ha effettuato una richiesta a un Name Server. In particolare questa tecnica può essere utilizzata per reindirizzare il traffico indirizzato a un sito web istituzionale verso siti contraffatti, predisposti per carpire le credenziali digitali dell’ignaro navigatore.

- IP Address spoofing: è l’attacco più diffuso. Si basa sul fatto che la maggior parte dei routers all’interno di una rete utilizzano solo l’indirizzo IP di destinazione e non quello di origine. Questo fa sì che un attaccante possa inviare dei pacchetti a un sistema bersaglio utilizzando source IP fittizi in maniera che le risposte siano inviate al falso IP indicato dall’attaccante.

Contromisure

La principale contromisura è costituita dall’utilizzo di tecniche crittografiche finalizzate all’autenticazione forte dei soggetti/sistemi coinvolti.

L’IP Address spoofing può essere limitato inserendo dei filtri sull’indirizzo IP sorgente a livello di routers e firewall.

 Connection hijacking.

È un metodo di attacco che riguarda principalmente le transazioni o, comunque, i flussi di dati che transitano da un computer all’altro. Con tale violazione l’intrusore, dopo averne analizzato il flusso, si inserisce materialmente nella transazione alterandone il contenuto e riuscendo a operare con le credenziali di chi legittimamente ha iniziato la sessione.

Contromisure

Si basano generalmente sull’adozione di tecniche crittografiche, utilizzate sia per gestire la cifratura delle informazioni in transito sia per l’autenticazione dei poli terminali della transazione.

 Man in the middle.

È un attacco che consiste nel dirottare il traffico generato durante la comunicazione tra due host connessi alla stessa rete verso un terzo host. Durante l’attacco il terzo host si frappone alla comunicazione tra i due end-point e intercetta il flusso di dati che si scambiano, riuscendo a far credere loro di essere il rispettivo legittimo interlocutore.

Contromisure

Come nel caso precedente, le possibili contromisure si basano generalmente sulla crittografia delle informazioni in transito e sulla mutua autenticazione dei poli terminali della transazione.

 Sniffing.

Consiste in un’ operazione di intercettazione passiva delle comunicazioni per la cattura di dati tramite cui l’attaccante può riuscire a intercettare informazioni e dati di varia natura (password, messaggi di posta elettronica, ecc.). Normalmente questa attività di intercettazione illecita viene effettuata con l’ausilio di strumenti informatici denominati sniffer – talora posizionati illecitamente su un sistema di proprietà di un utente inconsapevole – che catturano le informazioni in transito nel punto in cui sono stati installati: si tratta in sostanza di hardware o software – legali e reperibili normalmente in commercio – analizzatori, in grado di intercettare, selezionare per protocollo, tradurre, visualizzare e memorizzare tutti i tipi di pacchetti in transito sulla rete.

Contromisure

Riconoscere la presenza di tali tipologie di strumenti non è sempre facile. Un rilevamento specifico può essere effettuato mediante:

- il controllo locale dello stato dell’interfaccia di rete dei singoli sistemi o la verifica della presenza di schede di rete configurate in modalità promiscua;

- l’utilizzo di software specializzati;

- l’analisi delle segnalazioni delle eventuali “sonde” utilizzate. Per impedire un attacco della specie, si hanno a disposizione diverse possibilità:

- realizzazione di una topologia di rete sicura adottando tecniche di segmentazione; – applicazione di funzioni crittografiche per rendere i dati intelligibili al solo legittimo

destinatario; – adozione di sistemi di autenticazione forte; – preclusione della possibilità di configurare le interfacce di rete in modalità promiscua.

 Password cracking.

Trattasi di programmi che effettuano a ripetizione tentativi di accesso ad aree riservate, provando ad accedere con password generate secondo algoritmi interni predefiniti.

Contromisure

Una possibile azione per rendere meno nocivo tale tipo di attacco consiste in una corretta gestione delle password di accesso a informazioni riservate. Risulta quindi opportuno:

- scegliere password che non siano facilmente individuabili (utilizzo di almeno otto caratteri, che includano maiuscole, minuscole, numeri e caratteri speciali);

- predisporre policy di aggiornamento periodico delle password.

Information gathering (network and port scanning).

È il tentativo di rilevare indirizzi IP o porte TCP al fine di individuare quali servizi o sistemi siano presenti e attivi, per poter successivamente procedere a un tentativo di intrusione.

Contromisure

Adottare firewall di rete, personal firewall sulle stazioni di lavoro e strumenti di intrusion detection che consentano l’attivazione delle forme di reazione più appropriate.

Share this:

• Twitter
• Facebook