Ci possono aiutare in questo i White Hacker, dei veri e propri Black Hat che agiscono per aiutare le aziende a rimuovere i virus o a difendersi da eventuali intrusioni, spesso eseguendo dei penetration test nel sistema aziendale per provare la sua vulnerabilità o meno. Essi vengono definiti anche Ethical Hacker e possono certificarsi tramite l’EC-Council.

Sono state individuate 5 fasi che un hacker segue nella sua intrusione in un sistema aziendale:

1. Ricognizione
2. Scansione
3. Ottenere l’accesso
4. Mantenimento dell’accesso
5. Tracce di copertura

Fase 1: ricognizione

La fase di ricognizione si riferisce a quel momento di preparazione e strategia in cui un cybercriminale raccoglie quante più informazioni possibili sull’obiettivo prima di attaccare.

Le tecniche di ricognizione possono essere categorizzate generalmente in ricognizione attiva e in quella passiva.

Quando un attaccante utilizza tecniche di ricognizione passiva, non lo fa interagire direttamente con il sistema: usa informazioni disponibili pubblicamente, sfruttando la social engineering o il dumpster diving per raccogliere informazioni. Mentre la social engineering usa una serie di tecniche per manipolare le proprie vittime con lo scopo di ottenere informazioni sensibili, il dumpster diving è il processo di ricerca attraverso il cestino di un’organizzazione per recuperare le informazioni sensibili scartate.

Quando un cybercriminale invece utilizza tecniche di ricognizione attive, tenta di interagire con il sistema utilizzando strumenti per rilevare porte aperte, host accessibili, posizioni router, mappatura di rete, dettagli di funzionamento di sistemi e applicazioni.

Fase 2: scansione

La scansione è il metodo che un cybercriminale esegue prima di attaccare la rete. Nella scansione, usa i dettagli raccolti durante le ricognizioni per identificare specifiche vulnerabilità. Spesso vengono utilizzati strumenti automatizzati come scanner di rete/host e war dialer per individuare i sistemi e tentare di scoprire le vulnerabilità.

In questo modo un cybercriminale può raccogliere informazioni di rete come la mappatura di sistemi, router e firewall utilizzando strumenti semplici come Traceroute o Cheope.

Gli scanner di porte possono essere utilizzati per rilevare le porte di ascolto per trovare informazioni sulla natura dei servizi in esecuzione sulla macchina di destinazione. La tecnica di difesa primaria a questo proposito è quella di chiudere i servizi che non sono richiesti.

Un cybercriminale segue una particolare sequenza di passaggi per scansionare qualsiasi rete, tuttavia i metodi di scansione possono differire in base agli obiettivi di attacco.

Fase 3: accesso

Ottenere l’accesso è la fase più importante di un attacco in termini di danno potenziale. I cybercriminali non hanno bisogno di ottenere sempre l’accesso al sistema per causare danni. Ad esempio, gli attacchi denial-of-service possono esaurire le risorse o interrompere i servizi di esecuzione sul sistema di destinazione. Mentre quest’ultimo può essere effettuato terminando i processi o anche riconfigurando e bloccando il sistema, le risorse possono essere invece esaurite localmente riempiendo i collegamenti di comunicazione in uscita.

Ad esempio l’exploit può avvenire localmente, offline, tramite LAN o Internet come inganno o furto.

Gli aggressori usano anche una tecnica chiamata spoofing per sfruttare il sistema fingendo di essere estranei o sistemi diversi. Possono usare questo tecnica per inviare un pacchetto deformato contenente un bug al sistema di destinazione in modo da sfruttare le vulnerabilità. L’inserimento di questi pacchetti può essere utilizzato per interrompere a distanza la disponibilità di importanti servizi.

I fattori che influenzano le possibilità di un cybercriminale di accedere a un sistema di destinazione includono architettura e configurazione del sistema di destinazione, livello di abilità dell’autore del reato e livello di accesso ottenuto. Il tipo più dannoso degli attacchi è l’attacco denial-of-service (DoS), in cui un cybercriminale utilizza un software zombie attraverso Internet su più macchine per innescare un arresto dei servizi su larga scala.

Fase 4: mantenimento dell’accesso

Una volta che un cybercriminale ottiene l’accesso al sistema di destinazione, può scegliere di utilizzare il sistema e le sue risorse e di seguito di utilizzare sempre il sistema come trampolino di lancio per scansionare e sfruttare altri sistemi oppure per mantenere un livello basso del profilo e continuare a sfruttare il sistema. Entrambe queste azioni possono danneggiare l’organizzazione.

Gli hacker, che scelgono di rimanere inosservati, rimuovono le prove del loro ingresso e usano una backdoor o un Trojan per avere l’accesso aperto. Possono anche installare i rootkit a livello di kernel per ottenere l’accesso super-utente. Sia i rootkit che i Trojan dipendono dagli utenti per farsi installare: nei sistemi Windows, la maggior parte dei Trojan si installano come servizio ed eseguono come sistema locale e amministrativo. Gli hacker inoltre possono utilizzare cavalli di Troia per trasferire nomi utente, password e persino informazioni sulla carta di credito memorizzati nel sistema. Inoltre possono mantenere a lungo il controllo del “loro” sistema rafforzando il sistema contro altri aggressori e, a volte, nel processo, rendono un certo grado di protezione al sistema da altri attacchi. Possono quindi utilizzare il loro accesso per rubare dati, consumare cicli della CPU e scambiare informazioni sensibili o addirittura ricorrere all’estorsione.

Le organizzazioni possono utilizzare i sistemi di rilevamento delle intrusioni o implementare honeypots e honeynet per rilevare gli intrusi. Quest’ultimo però non è raccomandato a meno che l’organizzazione non abbia l’hacker etico richiesto per proteggere la rete aziendale. 

Fase 5 – Covering Tracks

Un cybercriminale vorrebbe distruggere le prove della sua presenza e attività per vari motivi come per mantenere l’accesso ed evitare di venire scoperto. Cancellare le prove di un attacco è un requisito essenziale per qualsiasi cybercriminale che vorrebbe rimanere inosservato. Di solito questa fase inizia con la cancellazione degli accessi e di eventuali messaggi di errore che potrebbero essere stati generati dal processo di attacco, ad esempio, un attacco di overflow del buffer di solito lascia un messaggio nel log di sistema. Successivamente, l’attenzione è rivolta alle effettive modifiche in modo che gli accessi futuri non vengano registrati.

Manipolando e modificando i registri degli eventi, l’amministratore di sistema può essere convinto che l’output del suo sistema è corretto e che nessuna intrusione ha effettivamente avuto luogo. Inoltre è indispensabile che gli hacker facciano apparire il sistema come lo hanno trovato prima del loro accesso e stabilire il backdoor per il loro uso. Tutti i file, che sono stati modificati, devono essere riportati alle loro caratteristiche originarie.

Altre tecniche sono la steganografia e il tunnelling. La prima è il processo di nascondere i dati per esempio in immagini e file audio, il secondo, invece, sfrutta il protocollo di trasmissione portando un protocollo su un altro. Lo spazio extra (ad es. Bit inutilizzati) nelle intestazioni TCP e IP può essere usato per nascondere informazioni. Un cybercriminale può usare il sistema come copertura per lanciare nuovi attacchi contro altri sistemi o utilizzarlo come mezzo per raggiungere un altro sistema sulla rete senza essere rilevato. Quindi, questa fase di attacco può trasformarsi in un nuovo ciclo di attacco usando le tecniche di ricognizione e così via.

Le aziende, devono affrontare la sicurezza come parte integrante della propria strategia aziendale e/o operativa. Investire sulla formazione dei propri collaboratori e dotarsi di politiche e procedure adeguate per verificare tali attività.

Mentre tu, come hacker etico, devi essere in grado di distinguere tra i vari metodi di ricognizione ed essere in grado di sostenere misure preventive alla luce di potenziali minacce.