Appendice B. Exploit comuni e attacchi

Tabella B-1 riporta alcuni degli exploit e dei punti d'ingresso più comuni,usati dagli aggressori, per accedere alle risorse organizzative della rete. La chiave per poter affrontare gli exploit più comuni, è rappresentata dalla spiegazione di come essi vengono effettuati e come gli amministartori siano in grado di salvaguardare correttamente le loro reti contro tali attacchi.

ExploitDescrizioneNote
Password di default o NullLasciare le password amministrative vuote o usare una password di default fornita dal rivenditore del prodotto. Questo è comune nell'hardware come ad esempio: router, BIOS, anche se alcuni servizi eseguiti su Linux, possono contenere delle password di default dell'amministratore (anche se Red Hat Enterprise Linux non le contiene).

Comunemente associati con l'hardware di rete come ad esempio router, firewall, VPN e apparecchiature network attached storage (NAS)
Comuni in molti sistemi operativi, in particolare gli OS insieme a servizi come UNIX e Windows;
Gli amministratori talvolta creano frettolosamente utenti privilegiati lasciando la password su null, un perfetto punto d'ingresso per utenti maliziosi in grado di scoprire l'utente in questione

Chiavi condivise di defaultI servizi sicuri talvolta, includono le chiavi di sicurezza di default per scopi di sviluppo o di valutazione. Se queste chiavi non vengono cambiate e posizionate in un ambiente di produzione su internet, qualsiasi utente con le stesse chiavi di default, ha accesso alla stessa risorsa di chiave-condivisa, e di conseguenza a qualsiasi informazione in esso contenuta.

Molto comunemente in punti di accesso di tipo wireless e apparecchi del server sicuro preconfigurati
CIPE (consultare Capitolo 6) contiene un esempio di chiave statica che deve essere cambiata prima dell'impiego di un ambiente di produzione

IP SpoofingUna macchina remota si comporta sulla vostra rete locale come un nodo, andado alla ricerca di punti deboli con i vostri server, e installa un programma backdoor o trojan per avere un controllo sulle vostre risorse di rete.

L'azione di 'Spoofing', è molto difficile, essa infatti richiede di sapere, da parte dell'aggressore, i numeri TCP/IP SYN-ACK, in modo da instaurare un collegamento, e successivamente attaccare i sistemi scelti. Diversi strumenti sono disponibili per assistere i cracker nell'effettuare tale ricerca di vulnerabilità del sistema
A seconda dei servizi in esecuzione del sistema (ad esempio rsh, telnet , FTP e tanti altri) che usano tecniche di autenticazione source-based, le quali generalmente non sono consigliate rispetto al PKI o altre forme di decodifica, usate in ssh o SSL/TLS.

EavesdroppingRaccogliere informazioni che passano tra due nodi attivi su di un rete, effettuando un eavesdropping sul collegamento tra due nodi.

Questo tipo di attacco funziona principalmente con i protocolli di trasmissione di testo normale, come ad esempio FTP e trasferimenti HTTP.
Un aggressore remoto, deve avere accesso ad un sistema compromesso su di un LAN in modo tale da poter effettuare tale attacco, generalmente il cracker usa un attacco attivo (come ad esempio IP spoofing o Man-in-the-middle) per compromettere un sistema su LAN
Misure preventive necessarie per evitare la decodifica della password includono i servizi con scambio di chiavi criptografiche, password che possono essere usate solo una volta, oppure un'autenticazione cifrata, inoltre per prevenire l'intercettazione della password,è consigliata una trasmissione criptata

Vulnerabilità del servizioL'aggressore è in grado di trovare un difetto o un punto debole nel servizio in esecuzione attraverso internet, a causa di questa vulnerabilità, egli e in grado di compromettere l'intero sistema e qualsiasi dato in esso contenuto, potendo compromettere anche qualsiasi altro sistema presente sulla rete.

I servizi basati su HTTP come CGI, sono vulnerabili alle esecuzioni dei comandi in modo remoto e anche durante l'accesso interattivo della shell. Anche se il servizio HTTP viene eseguito come un utente non privilegiato, come ad esempio "nobody", le informazioni riguardanti i file di configurazione e le mappe di rete 'networkmap' possono essere lette, oppure, l'aggressore ha la possibilità di negare l'accesso alle risorse del sistema ad altri utenti.
Alcuni servizi possono presentare dei punti deboli che possono non essere notati durante il loro sviluppo e successive prove, queste vulnerabilità (come il sovraccarico del buffer, dove gli intrusi possono ottenere accesso, semplicemente riempendo l'addressable memory 'memoria indirizzabile', con una quantità superiore rispetto a quella accettata dal servizio, neutralizzando così il servizio e dando la possibilità di ottenere un prompt del comando interattivo, attraverso il quale si possono eseguire comandi arbitrari.
Gli amministratori dovrebbero assicurarsi che i servizi non vengano eseguiti sotto forma di utente root, devono essere vigili e controllare la presenza di patche e aggiornamenti degli errata delle applicazioni, da parte dei rivenditori o dalle organizzazioni di sicurezza come ad esempio CERT e CVE.

Vulnerabilità dell'applicazioneGli aggressori possono trovare punti deboli nelle applicazioni desktop e workstation, come ad esempio e-mail-client, eseguire codici arbitrari, innestare virus trojan oppure neutralizzare i sistemi. Un danno ulteriore si può presentare quando la workstation 'infetta' ha privilegi di gestione sul resto della rete.

Le workstation e i desktop sono più propensi ad un simile danno, questo perchè gli utenti non hanno abbastanza esperienza per prevenire o rilevare una compromissione. È imperativo quindi informare gli utenti dei rischi che si possono incontrare,nell'installare un software non autorizzato o aprire un allegato email sospetto
Si possono implementare delle contromisure tali che il software del mail client non apra o esegua automaticamente gli allegati. In aggiunta, l'aggiornamento automatico del software della workstation tramite Red Hat Network o altri servizi di gestione del sistema, sono in grado di alleviare l'onere dell'uso di multi-seat security.

Attacchi di tipo Denial of Service (DoS) Un aggressore o un gruppo di aggressori, possono coordinare un attacco nei confronti delle risorse di rete o del server, inviando pacchetti non autorizzati all'host prescelto (esempio server, router o workstation). Questo forza la risorsa, a non essere disponibile agli utenti legittimi.

Il caso più conosciuto di attacco DoS verificatosi nel 2000. Diversi siti commerciali e governativi altamente trafficati, sono stati inondati da un altissimo numero di segnali ping, questo attacco venne effettuato usando diversi sistemi 'infetti' con collegamenti a larghezza di banda alta, fingendosi zombies, o dei nodi broadcast ridirezionati
La fonte dei pacchetti viene generalmente modellata (e ritrasmessa), compiendo una investigazione nei confronti della fonte reale della difficoltà dell'attacco.
Favorendo l'azione in ingresso di filtraggio (IETF rfc2267)usando iptables e una tecnologia IDS di rete, come ad esempio snort, si consente agli amministratori di controllare e prevenire gli attacchi di tipo DoS.

Tabella B-1. Exploit comuni