Cosa sono gli attacchi informatici, quali sono le tipologie più comuni, come vengono condotti e come ci si può difendere.
Gli attacchi informatici, nell’ultimo decennio, hanno registrato, a livello globale, un incremento significativo, sia sotto il profilo della frequenza che dell’impatto e delle dimensioni. Al punto che risulta estremamente complesso riuscire a identificare chi c’è dietro tali azioni e distinguere immediatamente le sorgenti di un attacco informatico.
Per poter ragionare sulle misure da adottare, con l’obiettivo di gestire i rischi relativi alla sicurezza informatica e definire le azioni di contrasto, diventa fondamentale sapere distinguere le diverse tipologie di minacce e le relative modalità di azione.
Cosa sono gli attacchi informatici?
Gli attacchi informatici sono azioni e manovre malevole – messe cioè in atto da persone oppure organizzazioni criminali con l’obiettivo di creare un danno – che vanno a colpire e violare i sistemi IT, che possono essere infrastrutture, applicazioni, reti e/o dispositivi elettronici, app e servizi digitali online, ecc. e che, solitamente, hanno come obiettivo il furto dei dati o delle identità digitali, il blocco delle attività, il malfunzionamento di un servizio, il furto delle credenziali degli utenti, l’accesso alle informazioni e via dicendo.
L’attacco informatico viene definito dal National Initiative For Cybersecurity Careers And Studies (NICCS) come “il tentativo di ottenere un accesso non autorizzato a servizi, risorse o informazioni di sistema e/o di comprometterne l’integrità e, in generale, consiste nell’atto intenzionale di tentare di eludere uno o più servizi di sicurezza o i controlli di un sistema informativo digitale per alterare la riservatezza, l’integrità e la disponibilità dei dati”.
Definizione puntuale, che rimanda ad atti malevoli – da parte di singoli o di vere e proprie organizzazioni – finalizzati al furto, al danneggiamento o alla completa distruzione di obiettivi specifici.
Riguardo agli autori – in solitaria o in gruppo – c’è, però, da fare un distinguo tra i termini “hacker” e “cracker” e le figure alle quali questi fanno riferimento. Il primo, in realtà, rimanda a esperti di informatica e programmazione, che sposano una cultura ed un’etica legata all’idea del “software libero”.
Tra questi troviamo, ad esempio, gli attivisti e gli informatici che lavorano nell’ambito della sicurezza e che si servono eticamente delle tecniche di hacking per individuare le debolezze di un sistema e che vengono definiti White Hat Hacker.
Il “cracker” – definito anche Black Hat Hacker – è, invece, un pirata informatico in grado di penetrare all’interno di reti di computer senza autorizzazione, col preciso obiettivo di danneggiare il sistema, di sottrarre dati personali e informazioni finanziarie (tra cui, ad esempio, numeri di carte di credito e dati bancari) oppure di effettuare l’hacking di conti personali o aziendali per eseguire trasferimenti di denaro.
Perché vengono condotti
La classificazione degli attacchi informatici dipende da quelle che sono le motivazioni che vi sono alla base. Motivazioni che, a loro volta, determinano le modalità stesse dell’azione malevola e le sue caratteristiche.
Ad esempio, nel caso in cui l’attacco sia motivato da fattori politici, vi è spesso, da parte degli autori, il forte interesse a nascondere il reale motivo, dirigendo l’attenzione pubblica su altro.
Diversa cosa, accade, invece, quando il motivo dell’attacco informatico è finanziario ed è condotto da pirati informatici, meno interessati a nascondere le motivazioni del crimine ma, al contempo, decisi ad occultarne le tracce.
Gli attacchi informatici diretti alle organizzazioni – governative o private – e ai singoli cittadini, si esplicano, in genere, attraverso la guerra informatica, le attività criminali da parte dei pirati informatici – alle quali si è accennato in precedenza e – l’attivismo.
Fanno parte del primo gruppo quegli attacchi volti a diffondere allarmi e malcontenti. In particolare, l’attivismo informatico include tutti quegli eventi di protesta nei confronti di azioni portate avanti da governi, società o altre organizzazioni e tutte le azioni che spronano verso nuovi cambiamenti sociali.
La maggior parte di tali attacchi vengono effettuati utilizzando quello che viene definito Distributed Denial of Service (DDoS), azione malevola che implica l’utilizzo di un insieme di computer/dispositivi, precedentemente dirottati per dirigere il traffico verso un singolo sito web di destinazione: lo scopo è saturare la rete o bloccare le capacità computazionali del target, rendendo il sito non raggiungibile.
In atri casi, l’attivismo informatico viene attuato ricorrendo ad attacchi detti di “defacement”, consistenti nella modifica del contenuto di una pagina o di un sito web mediante l’introduzione illecita di testi critici o sarcastici.
Quali sono i principali tipi di attacchi informatici?
Esiste una grande varietà di attacchi ai danni dei sistemi informatici, caratterizzati da tecniche e da modi di attuazione differenti. In estrema sintesi, due sono le macro-categorie in cui si suddividono, con riferimento agli “attacchi sintattici” e agli “attacchi semantici”, dove i primi sono “diretti” e si fondano sulla diffusione e l’utilizzo, da parte dell’utente, di software malevoli e i secondi – indiretti – comprendono, invece, la modifica di informazioni corrette e la diffusione di informazioni false. Di seguito, una breve panoramica degli attacchi informatici più frequenti, appartenenti al primo gruppo.
Malware
Derivante dalla contrazione di “malicious” e “software”, il termine significa letteralmente “programma malvagio” e indica un qualsiasi programma informatico in grado di danneggiare il funzionamento e la sicurezza del sistema operativo. Si trasmette attraverso Internet, spesso tramite la posta elettronica o la semplice navigazione, e tra le varietà più diffuse figurano virus, trojan horse, keylogger, worm e backdoor. Andando più nel dettaglio, esistono malware “poliformici”, che cambiano continuamente forma, e malware “metamorfici”, che alterano completamente il loro codice: entrambi particolarmente difficili da individuare, in realtà non danneggiano gli hardware fisici di un sistema, né le apparecchiature di rete, ma sono capaci di rubare, criptare o eliminare i dati, alterare o compromettere le funzioni fondamentali di un computer e spiare le attività degli utenti, senza che questi se ne accorgano o forniscano alcuna autorizzazione al riguardo.
Phishing
In questo caso, il termine è una variante del vocabolo inglese “fishing” (letteralmente “pescare”), alludendo all’utilizzo di tecniche per “pescare” dati finanziari e password di un utente. Si tratta di un tipo di truffa effettuata su Internet, attraverso la quale si cerca di ingannare la vittima convincendola a fornire informazioni personali e riservate, dati finanziari o codici di accesso a carte di credito, fingendosi un Istituto finanziario o un altro ente affidabile. Di solito, nel messaggio inviato all’utente, viene indicato un collegamento link che rimanda solo apparentemente al sito web dell’Istituto di credito o del servizio a cui si è registrati. Qualora l’utente inserisca i propri dati riservati, questi cadranno nelle mani dei criminali. Con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o ad altri servizi che richiedono una registrazione, un altro pericolo arriva dall’utilizzo dei virus informatici, con le stesse modalità di infezione.
Attacco man-in-the-middle
Letteralmente “uomo nel mezzo”, questa tipologia di attacco si verifica quando qualcuno, in segreto, ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra loro, senza interferenze di terzi. Nell’esempio più comune, chi attacca si serve di una rete Wi-Fi per intercettare le comunicazioni dell’utente, intaccando la connessione del router apparentemente senza falle o sfruttando un punto debole nel setup del router, con il fine di intercettare le sessioni degli utenti. Una recente variante è l’attacco “man-in-the-browser”, in cui il cyber criminale, riuscendo a installare un malware nei computer delle vittime, è in grado di registrare i dati scambiati tra il browser e i siti target in cui ha inserito il codice malware. Questo tipo di attacco permette di colpire più persone allo stesso tempo e ha, inoltre, il vantaggio di poter essere realizzato in modalità remota.
Attacco DoS – Denial-of-Service
Con l’espressione denial-of-service (in italiano “negazione del servizio”, abbreviato in DoS) ci si riferisce a un malfunzionamento causato da un attacco in cui vengono fatte deliberatamente esaurire le risorse di un sistema informatico che fornisce un servizio ai clienti, fino a renderlo non più in grado di funzionare. L’aggressore, in pratica, provoca una “negazione del servizio”, sovraccaricando, con una miriade di richieste, le connessioni di rete di un sistema responsabile dello scambio di dati esterni: se la quantità di richieste supera il limite di capacità, il sistema rallenta o collassa. I bersagli tipici degli attacchi DoS sono siti di shopping online, casinò online e qualsiasi azienda e organizzazione che fornisce servizi online. L’autore può, infine, anche richiedere un pagamento per interrompere l’attacco.
SQL injection
Nella tecnica di attacco denominata “SQL injection”, l’aggressore prende di mira le vulnerabilità tipiche di quei database che si avvalgono del linguaggio SQL per l’inserimento dei dati. Che cosa significa? Che vengono sfruttati, in particolare, quegli input degli utenti non filtrati in modo corretto e caratterizzati dalla presenza di alcuni metacaratteri, tra cui, ad esempio, il trattino doppio, le virgolette e i punti e virgola. Metacaratteri – questi – che, per l’interprete SQL, permettono la modifica esterna dei comandi. In molti casi, un attacco di questo tipo si distingue per le correlazioni con quei programmi che presentano vecchie interfacce e in cui gli input non sono filtrati correttamente, costituendo, così, il bersaglio ideale per un cyber-attack. In questo modo, per mezzo di un utilizzo preciso di caratteri di funzione, qualsiasi utente privo di autorizzazione può iniettare altri comandi SQL e arrivare a manomettere il database.
Attacchi informatici zero-day
Gli attacchi zero-day rappresentano le minacce informatiche di ultima generazione. È molto difficile capire da dove provengano – spiegano gli analisti – anche se generalmente si tratta di un cyber criminale (o di un gruppo) che ha scoperto determinate vulnerabilità e ha iniziato a sfruttarle, tra cui quelle all’interno dei servizi browser e delle applicazioni per email, tra gli strumenti più usati dagli utenti. Il nome stesso “zero-day” – o “zero giorni” – significa che, trattandosi di falle di sicurezza appena scoperte, “zero” è il tempo a disposizione degli sviluppatori per riuscire a sistemarle prima che si possa sfruttarle. Per il momento, si distinguono le “vulnerabilità zero day”, che rimandano a buchi nella protezione di un software presente su un browser o di un’applicazione, e gli “exploit zero day”, attacco che sfrutta tali vulnerabilità per installare software dannosi su un dispositivo.
Tunneling DNS
Sebbene il tunneling DNS sia una tipologia di attacco informatico datato, rimane ancora oggi la più concreta per le organizzazioni. In che cosa consiste? Gli aggressori nascondono i dati all’interno delle query DNS (il Domain Name System è il protocollo che mantiene in funzione la rete, mappando i nomi di dominio e abbinandoli ai relativi indirizzi IP) e, inviandole, riescono a trasferire o ad attivare malware all’interno di un server compromesso. Questo genere di attacco viene utilizzato in diversi modi, ma l’approccio più comune vede protagonisti i server command and control: una volta che un dispositivo interno è stato compromesso – ad esempio, attraverso azioni di phishing o con il rilascio di un malware – l’aggressore manterrà il contatto con tale dispositivo per eseguire i comandi.
Come difendersi dagli attacchi informatici
Ogni azienda e organizzazione devono poter attuare una protezione puntuale dagli attacchi informatici, per mettere al sicuro le proprie attività e il proprio business.
La prevenzione può essere fatta, innanzitutto, riducendo la superfice di attacco a disposizione del cyber criminale e gestendo in modo centralizzato e pianificato l’installazione di software per fare fronte alle vulnerabilità rilevate.
Riguardo alla riduzione della superfice di attacco, questa non potrà comunque azzerare il rischio di subire attacchi. Motivo per cui le organizzazioni dovrebbero pensare a strategie difensive adeguate, per gestire le fasi di reazione all’incidente e di indagine successiva per identificare le cause dell’attacco e i sistemi e i dati coinvolti.
Fondamentali sono, poi, l’implementazione di soluzioni antimalware – in grado di individuare i tentativi di attacco – e l’implementazione di soluzioni antispam efficaci. In merito a questo secondo punto, ricordiamo che molte minacce vengono trasmesse tramite posta elettronica, anche se certificata.
Parte integrante del piano di protezione è, inoltre, la formazione degli utenti. Chi, all’interno dell’azienda, non segue le procedure di sicurezza e non rispetta la policy definita, ad esempio, corre il rischio di introdurre accidentalmente virus nel sistema e – non eliminando gli allegati di email sospette o inserendo unità USB non identificate – di causare danni gravi agli asset aziendali.
Le statistiche ci dicono che i problemi di sicurezza IT più comuni – e dannosi – sono dovuti proprio a errori non intenzionali da parte dei dipendenti, spesso nella fase di reazione all’incidente, quando non è ancora stato definito un piano di difesa e talora ci si limita soltanto a ripristinare i servizi oggetto di attacco.
Ogni sistema di protezione adottato va, infine, sottoposto a regolare test di collaudo per rilevarne l’affidabilità e l’efficacia. Insieme all’audit di sicurezza – oppure in alternanza – è possibile attuare anche il “penetration test”, vale a dire la valutazione, dall’esterno, del grado di sicurezza del sistema informatico, simulando un vero e proprio attacco.
