Le modalità di attuazione di minacce intenzionali (fino al 1990)

Le modalità di attuazione di minacce intenzionali sono cosi sinteticamente descritte:

1) Individuazione di attacchi non contrastati da alcuna contromisura ICT (ad esempio basati sull’inferenza, cioè non mi posso limitare a considerare ciò che può essere fatto da un determinato soggetto quando accede direttamente a determinate informazioni ma mi devo preoccupare anche del fatto che potrebbe accederci in modo indiretto sfruttando la conoscenza di altre informazioni);

2) Sfruttamento di debolezze insite nei principi teorici di funzionamento delle contromisure ICT (ad esempio meccanismi di autenticazione con password di lunghezza ridotta, algoritmi o protocolli crittografici mal progettati, ecc.);

3) Sfruttamento di errori nell’implementazione delle contromisure ICT (esempio buffer overflow, realizzazione non corretta di algoritmi crittografici, ecc.);

4) Sfruttamento di errori nella configurazione e nell’utilizzo delle contromisure ICT (esempio regole di filtraggio di un firewall, uso di password banali, ecc.).

Per quanto concerne le tipologie di modalità di attuazione più utilizzate negli anni 80 e 90 sono cosi elencate:

Nel periodo temporale 1980-1998 secondo la fonte CERT (i cert sono dei centri che servono a gestire le emergenze informatiche) sono cosi riassunti:

DECENNIO 1980-1990

Password guessing (la facilità nel riconoscere facilmente le password) .Il fenomeno del password guessing consiste nel "rubare" la password di un altro utente. Per prendere un valido account a cui dare una password bisogna "fingerare" (attacco tramite finger) l’utente e leggere (anche se criptato) il passwd file; è meglio se il finger viene fatto durante il giorno. Una volta trovato l’account (tramite il finger oppure nel passwd file), bisogna inserire una alla volta le password della lista.

password banali

account nome/nome o cognome/cognome+nnn (elenco telefonico);

account parola1/parola2+nnn (dizionario eventualmente contestualizzato);

password non protette fuori del contesto ICT;

account di default ancora attivi.

 

Questo codice software colpì tra il 1983 e il 1985 i primi home computer (Commodore 64, Sinclair ZX Spectrum e i primi PC MS-Dos) ed era un codice malevolo (es.: virus) inserito nei programmi registrati su supporto magnetico (floppy disk). Da questa minaccia erano immuni all’inizio i computer aziendali (per lo più mainframe con terminali non intelligenti (monitor più tastiera).

 

Per password cracking si intendono tutte quelle operazioni che consentono, in condizioni lecite e non, di reperire una password da una qualsiasi tipo di fonte di informazione ad esempio un file criptato. Questo tipo di attacco può essere effettuato in modalità remota oppure locale e i metodi di decodifica possono essere:

Brutal force attack: Questa algoritmo di decodifica richiede un notevole tempo di elaborazione e mira ad accedere al sistema tramite tentativi di login a ripetizione finchè non si trova un utente e una password validi. Il processo di brutal force attack richiede parecchio tempo infatti il processo di decodifica parte con un singolo carattere e prosegue ordinatamente aumentandone il numero e le combinazioni. Ad esempio: una password di 8 caratteri da un set di caratteri Ascii di 128 caratteri, un pc Pentiun 4/2.5 Ghz che permette di trattare in 1 secondo 25 milioni di combinazioni impiegherebbe, per decriptare la combinazioni di caratteri, ben 91 anni "le possibili combinazioni che dovrebbe verificare sarebbero 72.057.594.037.927.900".

Dictionary attack: Quest’altro tipo di algoritmo di decodifica si basa su una semplice consultazione di un dizionario di termini e nomi "in genere si tratta di file di testo". Il sistema di decodifica è semplice i programmi, realizzati a tale scopo, non fanno altro che leggere nell’ordine tutte le parole in elenco fino a ritrovare quella giusta.

Sovrascrittura della password: Questa è una delle tecniche più semplici ma non ha un’alta percentuale di riuscita. Ovviamente con questa tecnica non viene trovata la password ma si cerca di leggere il contenuto del file e così poterla sovrascrivere.

Known-plaintext attack: E’ un tipo di attacco basato sull’utilizzo di una versione non codificata e non compressa di uno dei file contenuti nell’archivio protetto da password. Questo file viene usato per "decodificare" tutti gli altri. Un attacco di questo tipo può essere utilizzato, in questa circostanza, non solo per decodificare gli altri due file ma anche per risalire alla password. Un attacco known-plaintext è molto complicato ma, solitamente, è quello che dà i risultati migliori Con l’avvento del password craking i primi terminali ad essere colpiti furono quelli con sistema operativo Unix. Infatti il file degli account (nella directory /etc) è accessibile in lettura a tutti gli utenti e contenente le coppie nome utente/(nome utente cifrato con algoritmo noto e chiave costituita dalla password) per cui anche password di buona qualità potevano essere così scoperte.

 

Inizialmente furono colpiti i sistemi Unix (con il worm di R. Morris) e VMS (con il “Worm Against Nuclear Killers – WANK”)

Nel 1988 gli hacker cominciano ad eseguire anche azioni che lascerebbero tracce nei file di auditing, ma imparano a cancellare tali tracce, facilitati dal prevalente uso come “scatola nera” dei file di auditing da parte degli amministratori di sistema. Infatti riescono ad effettuare la modifica della data/ora di sistema prima del reinserimento dei file di auditing depurati dalle registrazioni degli eventi anomali causati dagli hacker.

Le backdoors sono quelle password che il programmatore del sistema mette per avere accesso in futuro a quel dato computer e che solamente lui conosce. Per cercare di individuare la password bisogna fare lunghe ricerca sulla persona che ha impostato tutto il sistema. Il backdoor non era nient’altro che codice malevolo, eseguito con privilegi di amministratore sul sistema ICT violato, che consentiva un più agevole e veloce accesso al sistema dopo la sua iniziale violazione con sfruttamento passo-passo delle vulnerabilità note (connessioni TCP su porte di rara utilizzazione, magic passwords, ecc).

 

 

a cura del Dottor Antonio Guzzo

Responsabile CED – Sistemi Informativi del Comune di Praia a Mare