Attacchi informatici

1.2 IP Spoofing

Lo spoofing si basa sulla supposizione da parte dei servizi offerti dal TCP e dall'UDP che un indirizzo IP sia valido. L'host di un hacker puo' tuttavia utilizzare un routing del codice IP di origine per presentarsi al server nelle vesti di un client valido. Un Hacker può impiegare il routing dell'IP di origine per specificare un percorso diretto verso una destinazione e un percorso di ritorno verso l'origine(source routing, attualmente il source routing viene disabilitato); Quando io mi presento con un IP diverso dal mio devo far in modo che la risposta alla richiesta che invio mi debba tornare indietro, con il source routing infatti io riesco a specificare un percorso di ritorno( settando alcune opzioni del pacchetto IP), che comprenderà la mia macchina. In questo modo l'hacker può intercettare o modificare le trasmissioni. Il seguente esempio mostra il modo in cui il sistema di un hacker può prendere le vesti di un client valido per un determinato server.

1. L'hacker cambia il proprio indirizzo IP in modo da farlo corrispondere all'indirizzo IP del client valido, in questo caso si parla di indirizzo spoofato.
2. L'hacker poi costruisce un percorso che conduce al server, ovvero il percorso diretto che i pacchetti dovranno prendere per giungere al server e per tornare all'host dell' hacker, utilizzando l'indirizzo del client valido come ultimo tratto del percorso per giungere al server.
3. L'hacker utilizza il percorso di origine per inviare al server una richiesta del client.
4. Il server accetta la richiesta dell'hacker come se questa provenisse dal client valido e poi restituisce la risposta all'host dell'hacker.
5. Ogni risposta alle richieste da parte del client valido viene inviata all'host dell'hacker.

1.3 Attacchi a Sniffer

Gli attacchi a sniffer passivo rappresentano il primo passo prima che un hacker esegua un dirottamento attivo o un attacco IP spoofing. Per iniziare un attacco sniffing, un hacker ottiene user-ID e la password di un utente legittimo e utilizza le informazioni dell'utente per accedere a una rete distribuita.Dopo essere entrato nella rete, l'hacker osserva e copia le trasmissioni dei pacchetti e tenta di raccogliere quante piu informazioni possibili sulla rete l'esecuzione di un programma sniffer preclude che dopo che l'hacker abbia avuto accesso alla rete distribuita, debba anche diventare root infatti l'uso delle socket raw che permettono lo sniffing sono permesse solo all'amministratore di sistema. Un altro scenario di sniffing è l'attacco mascherato. In un attacco mascherato l'hacker inizia la sessione inviando al server un pacchetto di sincronizzazione SYN utilizzando come indirizzo di origine l'indirizzo IP del client. Il server riceverà il pacchetto SYN e risponderà con pacchetto SYN/ACK. L'hacker a sua volta esegue l'acknowledgement del pacchetto SYN/ACK del server. Il pacchetto dell'hacker contiene il numero di sequenza supposto dall'hacker. Per avere successo, l'hacker non ha bisogno di ascoltare i pacchetti del client, sempre che l'hacker possa prevedere il numero di sequenza che il server si aspetta ed eseguirne l'acknowledgement. L'attacco mascherato ha principalmente due difetti:

1. Se il client sostituito è attivo sulla rete riceverà dal server il pacchetto SYN/ACK e risponderà, a sua volta, con un pacchetto RST per resettare la sessione, in quanto ha ricevuto una risposta ad una richiesta di connessione mai inviata. Per evitare questo l'hacker potrebbe eseguire questo attacco quando il client è inattivo, oppure saturando la coda TCP (Denial Of Service sulla porta di connessione) in modo che il client perda il pacchetto SYN/ACK inviato dal server.
2. L'hacker non può ricevere dati dal server perchè le risposte vengono inviate al client valido; può pero' inviargli dati, e questo in genere è sufficiente per compromettere il sistema, a meno che la macchina dell'hacker e quella della vittima condividano lo stesso canale (esempio segmento di una rete L.A.N. collegata tramite Hub) e quindi la risposta debba passare per forza dalla macchina dell'hacker.

1.4 Attacco a desincronizzazione iniziale

Questo attacco rompe la connessione dal lato server. Dopo aver rotto la connessione, l'hacker crea una nuova connessione con un numero di sequenza differente. L'attacco funziona nel seguente modo:

1. Durante l'apertura della connessione il client valido invia un pacchetto SYN al server che risponde con un pacchetto SYN/ACK, che viene intercettato dall'hacker.
2. Quando l'hacker preleva il pacchetto SYN/ACK invia al server un pacchetto RST (ReseT Request) e poi un pacchetto SYN con gli stessi parametri del pacchetto SYN/ACK del server, in particolare il numero di porta sulla quale sincronizzare la connessione; inoltre il pacchetto dell'hacker ha un numero di sequenza differente.
3. Quando il server riceve il pacchetto RST chiude la prima connessione (ovvero quella con il client valido) e poi, quando riceve il pacchetto SYN, apre una nuova connessione sulla stessa porta ma con numero di sequenza differente. Il server invia al client originale un pacchetto SYN/ACK.
4. L'hacker intercetta il pacchetto SYN/ACK e invia al server il proprio pacchetto ACK. Il server attiva lo stato di connessione sincronizzata.

1.5 Attacchi a sessione Telnet

Gli hacker possono interferire con ogni tipo di comunicazione di rete. Ad esempio un hacker puo' intercettare una sessione telnet nel seguente modo:

1. Prima di iniziare l'attacco l'hacker osserva passivamente le trasmissioni della sessione senza interferire in alcun modo.
2. Nel momento opportuno l'hacker invia una grande quantità di dati nulli al server contenenti la sequenza estesa di byte "IAC NOP IAC NOP"(NOP = no operation),il demone telnet del server interpreta questi dati come valore nullo e li rimuove dal canale.Tuttavia la ricezione da parte del server di questi messaggi interrompe la sessione Telnet in corso.
3. Il risultato di questa sessione è una sessione Telnet desincronizzata .
4. Per costringere il client a uno stato di desincronizzazione, l'hacker adotta la stessa tecnica usata per il server.
5. Per controllare la sessione telnet l'hacker cerca di intercettare il numero di sequenza dei pacchetti in modo da poter continuare la connessione.

Gli hacker possono usare questo metodo solo se la sessione può trasportare dati nulli. Anche se la sessione accetta dati nulli, un hacker avrà difficoltà pratiche(in quanto dovrà mantenere una certa sincronizzazione tra il client valido e il server) a determinare il momento esatto in cui inviare i dati nulli.Se i dati vengono inviati nel momento errato, l'attacco interromperà la sessione telnet o creerà un 'interferenza senza dare all'hacker la possibilità del controllo della sessione.

1.6 Dirottamento del protocollo TCP (TCP hijack)

Questo attacco rappresenta la più grave minaccia per i server connessi a Internet.Anche se presenta analogie con l'attacco al numero di sequenza, questo attacco ottiene l'accesso alla rete costringendo la rete ad accettare il suo indirizzo IP come se fosse un indirizzo fidato e dunque l'hacker non è costretto a provare indirizzi IP per trovare quello giusto.L'idea dell'attacco è che l'hacker acquisisce il controllo di un computer che si collega con la rete che rappresenta il suo obbiettivo.Poi disconnette il computer dalla rete e inganna il server sostituendosi a tale computer. Dopo che l'hacker si è sostiuito al computer disconnesso, sostituisce l'indirizzo IP all'interno di ogni pacchetto con il propio indirizzo IP (della vittima)e altera i numeri di sequenza.Utilizzando l'IP sostituito, un hacker simula con il propio computer l'indirizzo IP di un sistema fidato, dopo che l'hacker ha ingannato il computer di destinazione, utilizza un apposito numero di sequenza per diventare la nuova destinazione del server. Questo attacco permette di aggirare i sistemi di password monouso e pertanto può compromettere un host dotato di elevati livelli di sicurezza, aggirando il sistema delle password l'hacker può penetrare in un sistema operativo diverso dal propio.