Caricare documenti e articoli online  
INFtube.com è un sito progettato per cercare i documenti in vari tipi di file e il caricamento di articoli online.
Meneame
 
Non ricordi la password?  ››  Iscriviti gratis
 

Attacchi informatici

informatica


Inviare l'articolo a Facebook Inviala documento ad un amico Appunto e analisi gratis - tweeter Scheda libro l'a yahoo - corso di



ALTRI DOCUMENTI

PASSAGGIO DI PARAMETRI X INDIRIZZO CON PARAMETRI (scambio)
Le memorie di massa
JDBC è un eccellente interfaccia di programmazione
Il Sistema Operativo
BREVE STORIA DELL'ELABORATORE
INTRODUZIONE ALL'ARCHITETTURA DEGLI ELABORATORI
Problema - Progettazione concettuale - Progettazione logica
I FOGLI DI STILE

Attacchi informatici

Questa sezione tratta di alcuni attacchi informatici che colpiscono le reti TCP/IP, Questi attacchi verranno man mano aggiornati in base ai nuovi incidenti di ambito informatico che si verificano su segnalazione del CERT, e di altri organismi competenti ne 757b17h ll'individuazione di questi problemi.Questa sezione inoltre tratterà alcuni meccanismi di difesa generali riguardanti l'ambito Linux e Unix più in generale, come possono essere per esempio i firewall.Inoltre dove è possibile forniremo il codice scritto da noi degli attacchi successivamente descritti.

1.1 Attacco a previsione del numero di sequenza

Ogni computer connesso ad una rete TCP/IP durante una comunicazione allega al propio pacchetto l'indirizzo IP di comunicazione e un numero univoco chiamato numero di sequenza.L'hacker esegue l'attacco a previsione del numero di sequenza TCP/IP in due fasi.

Nella prima fase l'hacker cerca di determinare l'indirizzo IP del server, generalmente mettendosi in ascolto dei pacchetti Internet, provando a specificare in ordine vari numeri di host oppure connetendosi al sito mediante un browser Web e osservando l'indirizzo IP nella barra di stato (attraverso il comando nslookup si può avere la traduzione dagli indirizzi IP numerici a quelli a stringa e viceversa).Ad esempio, se un sistema ha l'indirizzo IP 192.0.0.15,l'hacker, sapendo che in una rete C vi possono essere fino a 256 computer, potrà cercare di indovinare i loro indirizzi modificando unicamente l'ultimo byte. Dopo che l'hacker avrà iniziato a trovare gli indirizzi della rete, inizierà anche a controllare i numeri di sequenza dei pacchetti che si trasmettono tali computer.Dopo aver monitorizzato le trasmissioni della rete, l'hacker cercherà di prevedere il prossimo numero di sequenza che verrà generato dal server e quindi fornirà un proprio pacchetto con tale numero di sequenza inserendosi fra il server e l'utente. Poichè l'hacker ha già l'indirizzo IP del server, può in realtà generare pacchetti con i numeri di sequenza corretti e indirizzi IP che gli consentono di intercettare le trasmissioni con l'utente. Dopo che l'hacker ha avuto accesso al sistema tramite questo attacco, può accedere alle informazioni che il sistema di comunicazione trasmette al server,inclusi file di password,nomi di login,dati riservati ed ogni altra informazione trasmessa in rete. In genere questo attacco viene usato come base per l'attacco di un altro server della rete.Uno degli esempi dell'attacco ai numeri di sequenza, e quello che vede protagonista Kevin Mitnick verso i computer di Tsutomu Shimomura.



1.2 IP Spoofing

Lo spoofing si basa sulla supposizione da parte dei servizi offerti dal TCP e dall'UDP che un indirizzo IP sia valido. L'host di un hacker puo' tuttavia utilizzare un routing del codice IP di origine per presentarsi al server nelle vesti di un client valido. Un Hacker può impiegare il routing dell'IP di origine per specificare un percorso diretto verso una destinazione e un percorso di ritorno verso l'origine(source routing, attualmente il source routing viene disabilitato); Quando io mi presento con un IP diverso dal mio devo far in modo che la risposta alla richiesta che invio mi debba tornare indietro, con il source routing infatti io riesco a specificare un percorso di ritorno( settando alcune opzioni del pacchetto IP), che comprenderà la mia macchina. In questo modo l'hacker può intercettare o modificare le trasmissioni. Il seguente esempio mostra il modo in cui il sistema di un hacker può prendere le vesti di un client valido per un determinato server.

  1. L'hacker cambia il proprio indirizzo IP in modo da farlo corrispondere all'indirizzo IP del client valido, in questo caso si parla di indirizzo spoofato.
  2. L'hacker poi costruisce un percorso che conduce al server, ovvero il percorso diretto che i pacchetti dovranno prendere per giungere al server e per tornare all'host dell' hacker, utilizzando l'indirizzo del client valido come ultimo tratto del percorso per giungere al server.
  3. L'hacker utilizza il percorso di origine per inviare al server una richiesta del client.
  4. Il server accetta la richiesta dell'hacker come se questa provenisse dal client valido e poi restituisce la risposta all'host dell'hacker.
  5. Ogni risposta alle richieste da parte del client valido viene inviata all'host dell'hacker.

1.3 Attacchi a Sniffer

Gli attacchi a sniffer passivo rappresentano il primo passo prima che un hacker esegua un dirottamento attivo o un attacco IP spoofing. Per iniziare un attacco sniffing, un hacker ottiene user-ID e la password di un utente legittimo e utilizza le informazioni dell'utente per accedere a una rete distribuita.Dopo essere entrato nella rete, l'hacker osserva e copia le trasmissioni dei pacchetti e tenta di raccogliere quante piu informazioni possibili sulla rete l'esecuzione di un programma sniffer preclude che dopo che l'hacker abbia avuto accesso alla rete distribuita, debba anche diventare root infatti l'uso delle socket raw che permettono lo sniffing sono permesse solo all'amministratore di sistema. Un altro scenario di sniffing è l'attacco mascherato. In un attacco mascherato l'hacker inizia la sessione inviando al server un pacchetto di sincronizzazione SYN utilizzando come indirizzo di origine l'indirizzo IP del client. Il server riceverà il pacchetto SYN e risponderà con pacchetto SYN/ACK. L'hacker a sua volta esegue l'acknowledgement del pacchetto SYN/ACK del server. Il pacchetto dell'hacker contiene il numero di sequenza supposto dall'hacker. Per avere successo, l'hacker non ha bisogno di ascoltare i pacchetti del client, sempre che l'hacker possa prevedere il numero di sequenza che il server si aspetta ed eseguirne l'acknowledgement. L'attacco mascherato ha principalmente due difetti:

  1. Se il client sostituito è attivo sulla rete riceverà dal server il pacchetto SYN/ACK e risponderà, a sua volta, con un pacchetto RST per resettare la sessione, in quanto ha ricevuto una risposta ad una richiesta di connessione mai inviata. Per evitare questo l'hacker potrebbe eseguire questo attacco quando il client è inattivo, oppure saturando la coda TCP (Denial Of Service sulla porta di connessione) in modo che il client perda il pacchetto SYN/ACK inviato dal server.
  2. L'hacker non può ricevere dati dal server perchè le risposte vengono inviate al client valido; può pero' inviargli dati, e questo in genere è sufficiente per compromettere il sistema, a meno che la macchina dell'hacker e quella della vittima condividano lo stesso canale (esempio segmento di una rete L.A.N. collegata tramite Hub) e quindi la risposta debba passare per forza dalla macchina dell'hacker.

1.4 Attacco a desincronizzazione iniziale

Questo attacco rompe la connessione dal lato server. Dopo aver rotto la connessione, l'hacker crea una nuova connessione con un numero di sequenza differente. L'attacco funziona nel seguente modo:




  1. Durante l'apertura della connessione il client valido invia un pacchetto SYN al server che risponde con un pacchetto SYN/ACK, che viene intercettato dall'hacker.
  2. Quando l'hacker preleva il pacchetto SYN/ACK invia al server un pacchetto RST (ReseT Request) e poi un pacchetto SYN con gli stessi parametri del pacchetto SYN/ACK del server, in particolare il numero di porta sulla quale sincronizzare la connessione; inoltre il pacchetto dell'hacker ha un numero di sequenza differente.
  3. Quando il server riceve il pacchetto RST chiude la prima connessione (ovvero quella con il client valido) e poi, quando riceve il pacchetto SYN, apre una nuova connessione sulla stessa porta ma con numero di sequenza differente. Il server invia al client originale un pacchetto SYN/ACK.
  4. L'hacker intercetta il pacchetto SYN/ACK e invia al server il proprio pacchetto ACK. Il server attiva lo stato di connessione sincronizzata.

1.5 Attacchi a sessione Telnet

Gli hacker possono interferire con ogni tipo di comunicazione di rete. Ad esempio un hacker puo' intercettare una sessione telnet nel seguente modo:

  1. Prima di iniziare l'attacco l'hacker osserva passivamente le trasmissioni della sessione senza interferire in alcun modo.
  2. Nel momento opportuno l'hacker invia una grande quantità di dati nulli al server contenenti la sequenza estesa di byte "IAC NOP IAC NOP"(NOP = no operation),il demone telnet del server interpreta questi dati come valore nullo e li rimuove dal canale.Tuttavia la ricezione da parte del server di questi messaggi interrompe la sessione Telnet in corso.
  3. Il risultato di questa sessione è una sessione Telnet desincronizzata .
  4. Per costringere il client a uno stato di desincronizzazione, l'hacker adotta la stessa tecnica usata per il server.
  5. Per controllare la sessione telnet l'hacker cerca di intercettare il numero di sequenza dei pacchetti in modo da poter continuare la connessione.

Gli hacker possono usare questo metodo solo se la sessione può trasportare dati nulli. Anche se la sessione accetta dati nulli, un hacker avrà difficoltà pratiche(in quanto dovrà mantenere una certa sincronizzazione tra il client valido e il server) a determinare il momento esatto in cui inviare i dati nulli.Se i dati vengono inviati nel momento errato, l'attacco interromperà la sessione telnet o creerà un 'interferenza senza dare all'hacker la possibilità del controllo della sessione.

1.6 Dirottamento del protocollo TCP (TCP hijack)

Questo attacco rappresenta la più grave minaccia per i server connessi a Internet.Anche se presenta analogie con l'attacco al numero di sequenza, questo attacco ottiene l'accesso alla rete costringendo la rete ad accettare il suo indirizzo IP come se fosse un indirizzo fidato e dunque l'hacker non è costretto a provare indirizzi IP per trovare quello giusto.L'idea dell'attacco è che l'hacker acquisisce il controllo di un computer che si collega con la rete che rappresenta il suo obbiettivo.Poi disconnette il computer dalla rete e inganna il server sostituendosi a tale computer. Dopo che l'hacker si è sostiuito al computer disconnesso, sostituisce l'indirizzo IP all'interno di ogni pacchetto con il propio indirizzo IP (della vittima)e altera i numeri di sequenza.Utilizzando l'IP sostituito, un hacker simula con il propio computer l'indirizzo IP di un sistema fidato, dopo che l'hacker ha ingannato il computer di destinazione, utilizza un apposito numero di sequenza per diventare la nuova destinazione del server. Questo attacco permette di aggirare i sistemi di password monouso e pertanto può compromettere un host dotato di elevati livelli di sicurezza, aggirando il sistema delle password l'hacker può penetrare in un sistema operativo diverso dal propio.

 







Privacy

Articolo informazione


Hits: 1484
Apprezzato: scheda appunto

Commentare questo articolo:

Non sei registrato
Devi essere registrato per commentare

ISCRIVITI

E 'stato utile?



Copiare il codice

nella pagina web del tuo sito.


Copyright InfTub.com 2019