In questo articolo faremo una panoramica generale sui tipi di attacco che possono essere lanciati dagli hacker sui nostri computer con Windows come sistema operativo. Per comprendere meglio i tipi di attacco possiamo fare una suddivisione tra attacco locale ed in rete ed in questo contesto quelli mirati e casuali. Una volta capito il male passeremo ad un elenco di metodi generali per poterci difendere. Scopo quindi di questo articolo è quello di introdurvi la situazione della sicurezza nell’informatica ed in questo caso per quello che riguarda il sistema operativo Windows.
Per attacco locale si intende quello ad una macchina alla quale abbiamo accesso fisico. Ovviamente si può capire benissimo che attacchi di questo tipo sono molto efficienti ed è praticamente impossibile difendersi in modo adeguato. L’unica arma in questo caso che abbiamo è inserire una password nel BIOS della macchina, anche se aprendo l’involucro del computer è possibile resettare la CMOS. Al massimo possiamo tentare di salvare i nostri dati crittografando l’hard disk e renderlo accessibile solo dopo l’accesso dell’utente, questo sembra ad ora il metodo più efficace per proteggere il nostro computer da attacchi locali.
Gli attacchi di rete mirati sono quelli che vengono portati ad un indirizzo ip conosciuto e nel caso di una rete Windows il file sharing è il punto debole. Il file sharing di Windows si basa fondamentalmente su tre protocolli: NetBIOS, NetBEUI e SMB. Più che protocollo il NetBIOS lavora a livello si sessione che attraverso un set di comandi standard unisce l’SMB con i protocolli di trasporto ed instradamento sottostanti, come TCP/IP o IPX/SPX. NetBEUI è invece un protocollo e supporta in modo nativo sia l’interfaccia NetBIOS, sia una semplice funzionalità, il protocollo OSI LLC2. L’SMB ( Server Message Block ) è un protocollo ad alto livello, al di sotto del quale c’è o NetBEUI o NetBIOS a sua volta su un protocollo di trasporto come TCP/IP. Il funzionamento dell’SMB è di tipo client-server ed è utilizzato per condividere i file e le stampanti, incluse tutte le operazioni su di essi inviate come messaggi. L’SMB è anche responsabile del tanto comodo, quanto problematico dal punto di vista della sicurezza, browsing delle risorse di rete.
Microsoft, per mantenere questo sistema anche via Internet ha sviluppato l’NBT ( NetBIOS Over TCP/IP ) che sfrutta tre porte:
- nbname – porta 137/UDP per la risoluzione dei nomi NetBIOS
- nbdatagram – porta 138/UDP per informazioni sulle sessioni
- nbsession – porta 139/TCP per il trasferimento dei dati
Se un utente ha attivato i servizi di condivisione file e stampanti sulla connessione ad Internet potrebbe favorire l’attacco di un hacker da remoto, magari montando l’hard disk.
Parlando in generale, la tipica azione di un hacker negli attacchi mirati è quella del service discovery, si effettua un port scanning del sistema vittima, poiché la maggior parte dei servizi risponde a porte TCP/UDP prefissate e si determina se vi siano dei servizi raggiungibili. Si prosegue con un version and application gathering, ovvero l’analisi delle risposte dei servizi attivi per determinare il produttore e versione, in modo da ricercare con precisione l’eventuale esistenza di un bug conosciuto, ci sono dei programmi anche open source che svolgono questo compito.
Buona parte dei protocolli più comuni di interscambio di informazioni e programmi via TCP/IP utilizzano metodi di autenticazione in chiaro, ovvero la trasmissione di nome e password avviene senza sistemi di cifratura. I protocolli per prelevare la posta elettronica, POP3 o IMAP ed anche FTP per la trasmissione dei file, hanno questi problemi ed un hacker può semplicemente utilizzare uno sniffer che posto nel segmento di rete adeguato può intercettare nomi utente e password. Ovviamente questi problemi non riguardano solo Windows, ma le reti in generale.
Gli attacchi di rete casuali stanno ad indicare una serie di attacchi perpretati in Internet, non verso un sistema in particolare, ma verso tutti coloro che cadono nella trappola. Un tempo c’erano soltanto i virus che interpretavano il ruolo di minacce al sistema, ma oggi abbiamo dei semplici script che vengono eseguiti e che possono installare librerie fasulle dette trojan horse ( cavalli di troia ) provenienti da Internet attraverso il browser o la posta elettronica o addirittura provocare dei buffer overflow nei programmi ed eseguire nello stack della memoria del client altri programmi malevoli.
Conoscere le minacce che possono venire da Internet significa sapere anche come sapersi difendere, vorrei solo dare qualche linea guida e suggerimento per avere il nostro sistema privo da insidie informatiche.
- avere un sistema sempre aggiornato con le ultime patch e service pack
- andate, ogni qualvolta pensate di avere una minaccia nel sistema, a vedere i log con l’event viewer
- non installare software che non conoscete, prima cercate di sapere la sua storia con semplici ricerche e vedere anche se il produttore è affidabile, per i più smaliziati consiglio la prova del programma in macchine virtuali indipendenti
- tenere attivo un firewall
- quando possibile, soprattutto durante l’invio di dati importanti come i numeri delle carte di credito, guardare nella barra degli indirizzi se avete il protocollo HTTPS attivo e casomai avere anche la barra verde ( nelle ultime versioni di Explorer )
- avere sempre un antivirus, ce ne sono di ottimi gratuiti se utilizzati per uso personale
- non inserite i vostri dati su pagine aperte da collegamenti provenienti da posta elettronica e comunque state attenti quando venite reindirizzati con i collegamenti
Queste sono solo poche e semplici regole che normalmente seguo per cercare di stare lontano dalle minacce, ma, come avete potuto capire da questo articolo, l’hacking e la sicurezza sono una materia immensa e spero che i lettori di questo articolo ne traggano giovamento nella navigazione nel grande mare di Internet.
