Tutti gli attacchi alle reti esistenti e come evitarli

Negli ultimi dieci o quindici anni, abbiamo visto come è cambiato il paradigma con cui cracker o criminali informatici cercavano di sfruttare tutte le possibili vulnerabilità, all'interno di qualsiasi organizzazione o infrastruttura nazionale. Per contrastare questo fatto, ciò su cui ognuno di noi deve essere chiaro è che dobbiamo cambiare la nostra prospettiva sul modo in cui vediamo la sicurezza nel campo dei computer e delle reti, dobbiamo conoscere determinati attacchi e capire cosa possiamo imparare da loro, per essere preparati nel miglior modo possibile per loro, e talvolta anche per essere in grado di evitarli. In questo mondo di sicurezza non possiamo dire di essere pronti a prevenire qualsiasi attacco.

Inizieremo l'elenco delle minacce con le più comuni dall'inizio dell'attività dei criminali informatici.

Attacco DoS o attacco Denial of Service

A attacco denial-of-service , ha come suo obiettivo disabilitare l'uso di un sistema, un'applicazione, un computer o un server, al fine di bloccare il servizio a cui è destinato. Questo attacco può colpire sia la fonte che offre le informazioni, come un'applicazione o il canale di trasmissione, sia la rete di computer, o in altre parole, il criminale informatico tenterà di impedire agli utenti di accedere a informazioni o servizi. Il tipo più comune è quando un utente malintenzionato "inonda" una rete con una grande quantità di dati, provocando la saturazione dell'intera rete. Ad esempio, in un attacco DoS su un sito web, quando scriviamo un URL e vi accediamo, invieremo una richiesta per mostrarci le informazioni, in questo caso un attaccante potrebbe fare milioni di richieste con l'obiettivo di comprimere l'intero sistema. Per questo motivo, questo attacco prende il nome di «denial of service»,

Alcuni dei problemi che troveremo se eseguiremo un attacco DoS è che noteremo un enorme calo delle prestazioni di rete e molta lentezza (apertura di file o accesso a siti Web). Un particolare sito web è totalmente inaccessibile e non disponibile. Non saremo in grado di accedere a qualsiasi sito Web a cui tentiamo di accedere. Drastico aumento della quantità di spam che riceviamo.

Tipi di attacchi DoS

Attacco alluvione ICMP

Questo tipo di attacco Denial of Service consente di esaurire la larghezza di banda della vittima. Consiste nell'invio di una grande quantità di informazioni utilizzando i pacchetti ICMP Echo Request, ovvero il tipico ping, ma modificato per essere più grande del solito. Inoltre, la vittima potrebbe risponderti con pacchetti ICMP Echo Reply (risposta ping), quindi avremo un sovraccarico aggiuntivo, sia sulla rete che sulla vittima. La cosa più normale è utilizzare uno o più computer molto potenti per attaccare la stessa vittima, in questo modo la vittima non sarà in grado di gestire correttamente il traffico generato.

Ping dei morti

Questo attacco è simile al precedente, consiste nell'invio di un pacchetto di oltre 65536 byte, facendo sì che il sistema operativo non sappia come gestire questo pacchetto di grandi dimensioni, causando il crash del sistema operativo quando si tenta di assemblarlo di nuovo. Oggi questo attacco non funziona, perché il sistema operativo lascerà cadere i pacchetti direttamente. È molto importante conoscere questo attacco per evitarlo in futuro, ma ti abbiamo già detto che questo attacco non funziona più perché i sistemi operativi incorporano un gran numero di protezioni per prevenirlo.

Attacco a goccia

Questo tipo di attacco consiste nell'invio di una serie di pacchetti molto grandi, con l'obiettivo che il bersaglio (la vittima) non sia in grado di assemblare questi pacchetti, saturando il sistema operativo e bloccandolo. È possibile che una volta interrotto l'attacco, debba essere riavviato in modo che possa funzionare di nuovo correttamente. Oggi i kernel dei sistemi operativi incorporano protezioni contro questi attacchi.

Attacco a due colpi

Questo tipo di attacco consiste nel frammentare un pacchetto ICMP, con l'obiettivo che la vittima non possa rimontarlo. Ciò fa aumentare l'utilizzo della CPU della vittima e presenta un grave collo di bottiglia. Il risultato di questo attacco è solitamente che il PC della vittima diventa molto lento, poiché la CPU è troppo impegnata nel tentativo di riassemblare il pacchetto.

Attacco terrestre

Questo tipo di attacco consiste nell'invio di un falso pacchetto TCP SYN, in cui l'indirizzo IP del target viene utilizzato sia come sorgente che come destinazione, con l'obiettivo che quando riceve il pacchetto si confonde e non sa dove inviare il pacchetto, e si blocca. Questo tipo di attacco viene normalmente riconosciuto da sistemi operativi, firewall e persino suite antivirus.

Puffo

Questo attacco consiste nell'invio di un gran numero di messaggi di richiesta Echo ICMP all'indirizzo IP di trasmissione con l'IP di origine della vittima. In questo modo, la vittima effettiva riceverà tutte le risposte ICMP Echo Reply dall'intera rete, provocandone la saturazione. Prima di eseguire questo attacco, è necessario eseguire lo spoofing IP per falsificare l'indirizzo IP di origine della richiesta Echo ICMP, per eseguire successivamente questo attacco di massa. La rete smetterà di funzionare normalmente durante l'attacco, perché avremo un traffico di trasmissione elevato. Gli switch odierni sono preparati per prevenire questi attacchi automaticamente, in base a PPS (Packets Per Second)., Queste richieste t

SYN Flood

Questo tipo di attacco è uno dei più utilizzati al mondo, consiste nell'invio di pacchetti TCP con flag SYN attivato, con l'obiettivo di inviare centinaia o migliaia di pacchetti a un server e aprire diverse connessioni, con l'obiettivo di saturarlo con pieno. Normalmente questo attacco viene utilizzato con un IP di origine falso, in modo che tutte le risposte vadano a un IP che non esiste, oppure a un IP della vittima che sarà anche saturato da tutte le risposte TCP che vengono inviate dal server.

Gli attacchi SYN Flood possono essere facilmente evitati con il firewall, limitando il numero di pacchetti TCP SYN che possono essere ricevuti e persino mettendo un proxy intermedio per aggiungere ulteriori verifiche, prima di passare i messaggi al server web o qualsiasi altro servizio che lo fa. utilizzo del protocollo TCP.

Fraggle due attacchi

Questo attacco consiste nell'invio di molto traffico UDP a un indirizzo IP di broadcast, questi pacchetti hanno l'IP di origine della vittima, logicamente è stato effettuato un IP Spoofing per eseguire questo attacco. La rete fornirà il traffico di rete a tutti gli host, poiché stiamo inviando pacchetti UDP all'indirizzo di trasmissione ei computer risponderanno. Ciò farà sì che la vittima riceva una grande quantità di traffico che non è in grado di gestire correttamente e non sarà in grado di funzionare normalmente.

Attacco Denial of Service distribuito - DDos

Questo attacco di rete consiste nel collassare una vittima da più computer di origine, ad esempio, una botnet composta da un migliaio di computer potrebbe attaccare un determinato bersaglio. Questi tipi di attacchi sono molto comuni, facendo uso delle tecniche che abbiamo spiegato in precedenza, come il SYN Flood. Sebbene esista un server molto potente in grado di gestire milioni di richieste SYN Flood, se utilizziamo una botnet con centinaia o migliaia di computer, non sarà in grado di trattenerla e finirà per bloccarsi. Questo attacco "si diffonde" tra computer diversi, siano essi computer, altri server infetti, dispositivi IoT violati e molto altro ancora.

Alcuni suggerimenti per mitigare gli attacchi DDoS sono i seguenti:

• Configurare correttamente il firewall del router.
• Blocca tutto il traffico di rete, ad eccezione di ciò che ci è specificamente consentito fare.
• Disabilita tutti i servizi che non stiamo utilizzando.
• Controlla spesso la configurazione di rete e i log che abbiamo.
• Robusta politica di registrazione, che consente la correlazione degli eventi (SIEM).
• Avere una buona politica delle password con le relative autorizzazioni.
• Limita la larghezza di banda nella rete per porta, per evitare attacchi dalla nostra rete.

Spoofing ARP

Questo attacco alle reti di dati è uno dei più diffusi, consente di attaccare i computer che si trovano sulla stessa rete locale, sia essa cablata o wireless. Quando viene effettuato un attacco ARP Spoofing, ciò che stiamo facendo è che l'attaccante possa impersonare il router o il gateway e che tutto il traffico di rete o da un PC specifico (vittima) lo attraversi, permettendogli di leggere, modificare e persino bloccare traffico di rete.

Questo attacco funziona solo nelle reti IPv4, ma nelle reti IPv6 esiste anche un attacco simile, perché il protocollo ARP è disponibile solo nelle reti IPv4. Questo attacco è il modo più semplice per eseguire un Man in the Middle e acquisire tutte le informazioni dalla vittima. Per rilevare questi attacchi si potrebbe utilizzare Reverse ARP, un protocollo che serve per consultare l'IP associato a un MAC, se abbiamo più di un IP significa che siamo di fronte ad un attacco. Alcune suite di sicurezza rilevano già questo tipo di attacco e persino switch gestibili consentono di evitare questo tipo di attacco eseguendo il binding IP-MAC.

Attacco di inondazione MAC

Questo è uno degli attacchi più tipici nelle reti di dati, consiste nell'inondare una rete con indirizzi MAC dove abbiamo uno switch, ognuno con indirizzi MAC sorgente diversi, con l'obiettivo di mantenere la tabella CAM degli switch e che diventa un hub. Tuttavia, oggigiorno tutti gli switch hanno protezioni contro questo attacco, rendendo possibile eliminare rapidamente gli indirizzi MAC e non collassare mai, ma la CPU dello switch sarà al 100% e noteremo lentezza nella rete.

Nel caso di switch gestiti con VLAN, l'overflow sarebbe solo nella VLAN interessata, senza influire sul resto delle VLAN nella rete. Per prevenire questo tipo di attacco, si consiglia di configurare la Port Security sugli switch, e limitare un certo numero di indirizzi MAC per porta, in questo modo la porta potrebbe essere disattivata automaticamente, oppure limitare direttamente la registrazione di nuovi MAC fino a nuovo ordine.

DNS cache poisoning

Questo tipo di attacco consiste nel fornire dati falsi tramite DNS; per consentire a una vittima di ottenere tali informazioni e visitare pagine Web false o sotto il nostro controllo. Il computer che effettua richieste DNS potrebbe ricevere indirizzi IP contraffatti in base alla sua richiesta DNS, in questo modo possiamo reindirizzare una vittima a qualsiasi sito web sotto il nostro controllo.

IP Spoofing

Questo attacco consiste nel rappresentare l'indirizzo IP di origine di un determinato computer, in questo modo, i pacchetti TCP, UDP o IP potrebbero essere inviati con un IP di origine falso, impersonando il vero indirizzo IP di un dispositivo. Questo ha diversi obiettivi, nascondere la vera identità dell'origine, o impersonare un'altra squadra in modo che tutte le risposte vadano a lui direttamente.

ACK Inondazione

Questo attacco consiste nell'invio di un pacchetto di tipo TCP ACK a un determinato target, normalmente viene effettuato con un IP contraffatto, quindi sarà necessario lo spoofing IP. È simile agli attacchi TCP SYN, ma se il firewall blocca i pacchetti TCP SYN, questa è un'alternativa per bloccare la vittima.

Dirottamento della sessione TCP

Questo attacco consiste nel prendere possesso di una sessione TCP già esistente, dove la vittima la sta utilizzando. Affinché questo attacco abbia successo, deve essere eseguito in un momento esatto, all'inizio delle connessioni TCP è dove viene eseguita l'autenticazione, è proprio nel punto in cui il cybercriminale eseguirà l'attacco.

Attacco Man-In-The-Middle

Gli attacchi Man in the Middle sono un tipo di attacco che in seguito consente di eseguire altri attacchi. Gli attacchi MITM consistono nel porsi tra la comunicazione di due o più computer da parte dell'aggressore, con l'obiettivo di leggere, modificare al volo e persino negare il passaggio del traffico da un'origine a una destinazione. Questo tipo di attacco permette di conoscere tutta la navigazione online e qualsiasi comunicazione che verrà effettuata, inoltre, tutte le informazioni potrebbero essere dirette ad un altro computer esistente.

Un esempio di attacco MITM potrebbe essere quando un criminale informatico intercetta una comunicazione tra due persone, o tra noi e un server web, e il criminale informatico può intercettare e acquisire tutte le informazioni sensibili che inviamo al sito.

Come prevenire gli attacchi Man-In-The-Middle?

Gli attacchi MITM non sono impossibili da evitare, grazie alla tecnologia “Public Key Infrastructure” saremo in grado di proteggere i diversi team dagli attacchi, e questo ci permetterebbe di autenticarci contro altri utenti in modo sicuro, provando la nostra identità e verificando il identità del destinatario con crittografia pubblica, inoltre, possiamo firmare digitalmente le informazioni, garantire la proprietà di non ripudio e persino inviare informazioni completamente crittografate per preservare la riservatezza.

In un'operazione crittografica che utilizza l'infrastruttura a chiave pubblica, intervengono concettualmente le seguenti parti:

• Un utente che avvia l'operazione.
• Alcuni sistemi server che attestano il funzionamento e garantiscono la validità dei certificati, la Certification Authority (CA), la Registration Authority e il Time Stamping System.
• Un destinatario dei dati crittografati che viene firmato, garantito dall'utente che avvia l'operazione.

Le operazioni di crittografia a chiave pubblica sono processi in cui vengono utilizzati algoritmi di crittografia asimmetrica noti e accessibili a tutti, come RSA o basati su curve ellittiche. Per questo la sicurezza che la tecnologia PKI può fornire è fortemente legata alla privacy della cosiddetta chiave privata.

Attacchi di ingegneria sociale

Sebbene gli attacchi di ingegneria sociale non siano un attacco alle reti di dati, è un tipo di attacco molto popolare utilizzato dai criminali informatici. Questi tipi di attacchi consistono nel manipolare una persona per fornire credenziali utente, informazioni private e altro ancora. I criminali informatici cercano sempre tutti i modi possibili per ottenere credenziali utente, numeri di carte di credito, conti bancari, ecc., Per raggiungere questo obiettivo, cercheranno di mentire alle vittime fingendosi altre persone.

Questi tipi di attacchi hanno molto successo perché attaccano l'anello più debole della sicurezza informatica: l'essere umano. È più facile cercare di ottenere le credenziali utente di una persona tramite l'ingegneria sociale che tentare di attaccare un servizio come Google per estrarre le password. È essenziale di chi fidarsi, quando farlo e anche quando non dovremmo farlo. Non importa quanto sia sicura la nostra rete, se affidiamo la nostra sicurezza a chi non dovremmo, tutta quella sicurezza sarà inutile.

Come prevenire gli attacchi di ingegneria sociale?

La prima raccomandazione è quella di non avere fretta di rispondere agli aggressori informatici, molti di questi attacchi vengono sempre trasmessi con una certa urgenza, ad esempio che è urgentemente necessario effettuare un trasferimento di denaro a un destinatario che non abbiamo mai avuto prima. È necessario che tu sospetti un messaggio strano o non richiesto, se la posta che ci raggiunge proviene da un sito web o da un'azienda che usiamo di solito, dobbiamo intraprendere una piccola indagine da parte nostra, che include anche contattare detta società per verificare le informazioni.

• Attenzione alle richieste di informazioni bancarie
• Non fornire mai password di accesso, nemmeno alle banche.
• Rifiuta qualsiasi tipo di aiuto da parte di terzi, è possibile che siano criminali informatici per rubare informazioni o denaro.
• Non fare clic sui collegamenti tramite e-mail, potrebbero essere phishing, evitare di scaricare documenti sospetti.
• Stabilisci filtri antispam, configura il nostro team con antivirus e firewall, controlla i filtri e-mail e mantieni tutto aggiornato.

Impronta digitale del sistema operativo

Il termine OS Finger Printing si riferisce a qualsiasi metodo per determinare il sistema operativo utilizzato sulla vittima, con l'obiettivo di violarlo. Normalmente questi tipi di attacchi vengono effettuati in fase di pentesting, questo riconoscimento del sistema operativo viene effettuato analizzando gli indicatori di protocollo, il tempo necessario per rispondere ad una specifica richiesta, e altri valori. Nmap è uno dei programmi più utilizzati quando si tratta di OS Finger Printing. A cosa serve un utente malintenzionato che conosce il sistema operativo della vittima? Per eseguire attacchi più mirati su quel sistema operativo, conoscere le vulnerabilità e sfruttarle e molto altro ancora.

Esistono due diversi tipi di impronte digitali del sistema operativo:

• Attivo : si ottiene inviando pacchetti appositamente modificati creati per il team target, esaminando in dettaglio la risposta e analizzando le informazioni raccolte. Nmap esegue questi tipi di attacchi per ottenere tutte le informazioni possibili.
• Passivo : in questo caso le informazioni ricevute vengono analizzate, senza inviare pacchetti appositamente progettati al computer di destinazione.

Port scan

In ogni pentest, la scansione delle porte è la prima cosa da fare per tentare di violare un bersaglio. È una delle tecniche di riconoscimento più utilizzate dai criminali informatici per scoprire servizi esposti con porte aperte, se viene utilizzato un firewall e persino quale sistema operativo sta utilizzando la vittima. Tutti i computer collegati alla rete locale oa Internet utilizzano un gran numero di servizi in ascolto su determinate porte TCP e UDP. Queste scansioni delle porte ci consentono di sapere quali porte sono aperte e persino quale servizio si trova dietro di esse, al fine di sfruttare una vulnerabilità a quel servizio.

Nelle scansioni delle porte, invieremo messaggi a ciascuna porta, uno per uno, a seconda del tipo di risposta ricevuta, la porta sarà aperta, filtrata o chiusa. Uno dei programmi più utilizzati per la scansione delle porte è Nmap, è il coltellino svizzero della scansione delle porte perché abbiamo anche Nmap NSE che ti consente di utilizzare script per sfruttare vulnerabilità note, o per attaccare server Samba, FTP, SSH ecc.

Anche conoscere le porte che abbiamo aperto è molto importante, perché una porta identifica un servizio in esecuzione nel sistema. Ad esempio, il protocollo FTP utilizza la porta 21, se è aperta potrebbe essere perché abbiamo un server FTP in ascolto e potremmo attaccarlo. La scansione delle porte è la prima fase di un pentesting.

Come prevenire la scansione delle porte?

Non possiamo evitare la scansione delle porte, perché non possiamo impedire a un criminale informatico o un criminale informatico di provare a vedere quali porte abbiamo aperto, ma ciò che è in nostro potere è proteggere tutte le porte con un firewall ben configurato in modo restrittivo. Dobbiamo tenere presente che eseguire un port scan è illegale, secondo quanto dichiarato da diversi tribunali, perché è il primo passo dell'intrusione o per sfruttare una vulnerabilità.

Per limitare le informazioni che forniremo a un utente malintenzionato in un port scan, dobbiamo fare quanto segue:

• Chiudere tutte le porte nel firewall, ad eccezione di quelle che devono essere aperte per il corretto funzionamento del sistema.
• L'utilizzo di un criterio firewall restrittivo apre solo ciò che verrà utilizzato.
• Chiudere i servizi del sistema operativo che non sono necessari.
• Configurare i servizi web, SSH, FTP in modo tale che ci forniscano informazioni come il numero di versione, per evitare lo sfruttamento di possibili vulnerabilità.
• Utilizzare TCP Wrapper, un wrapper TCP che offrirà all'amministratore maggiore flessibilità per consentire o negare l'accesso a determinati servizi.
• Utilizza programmi come fail2ban per bloccare gli indirizzi IP che effettuano attacchi.
• Usa IDS / IPS come Snort o Suricata, per bloccare gli IP degli aggressori.

Tunneling ICMP

Questo tipo di attacco viene utilizzato principalmente per bypassare i firewall, poiché i firewall normalmente non bloccano i pacchetti ICMP. Potrebbero anche essere utilizzati per stabilire un canale di comunicazione crittografato e difficile da tracciare. Ciò che fa un tunnel ICMP è stabilire una connessione segreta tra due computer, che può essere utilizzata anche con UDP tramite DNS.

Per prevenire i tunnel ICMP, è necessario ispezionare in dettaglio il traffico ICMP e vedere che tipo di messaggi vengono scambiati. Inoltre, questo è complicato se viene utilizzata la crittografia dei dati, ma possiamo rilevarlo perché sarà il traffico ICMP che non è "normale", quindi, tutti gli avvisi IDS / IPS salteranno se li configuriamo correttamente.

Attacco LOKI

Questo non è un attacco alle reti di dati, è un programma client / server che consente di estrarre le informazioni attraverso protocolli che normalmente non contengono payload, ad esempio, il traffico SSH potrebbe essere tunnelling all'interno del protocollo ICMP con ping e persino con UDP per DNS. Questo può essere utilizzato come backdoor sui sistemi Linux per estrarre informazioni e inviarle da remoto senza destare sospetti. Questo è qualcosa che dovremmo controllare anche tramite firewall.

Attacco in sequenza TCP

Questo tipo di attacco consiste nel tentare di prevedere il numero progressivo di un traffico TCP, con l'obiettivo di identificare i pacchetti di una connessione TCP, e dirottare la sessione. L'esempio tipico è uno scenario in cui un utente malintenzionato monitora il flusso di dati tra due computer, l'attaccante potrebbe interrompere la comunicazione con il computer reale e affermarsi come il computer reale, prevedendo il numero di sequenza del successivo pacchetto TCP. L'autore dell'attacco "ucciderebbe" il computer reale, utilizzando un attacco DoS (Denial of Service) o simili.

Grazie a questa previsione del numero di sequenza, il pacchetto sarà in grado di raggiungere la sua destinazione prima di qualsiasi informazione proveniente dall'host legittimo, perché quest'ultimo è sotto attacco DoS e non consentirà la comunicazione con l'host vittima. Questo pacchetto dell'aggressore potrebbe essere utilizzato per ottenere l'accesso al sistema, terminare forzatamente una connessione o inviare direttamente un payload dannoso.

Come prevenire l'attacco in sequenza TCP?

L'IETF nel 2012 ha rilasciato un nuovo standard per stabilire un algoritmo migliorato e impedire a un utente malintenzionato di indovinare il numero di sequenza iniziale nelle comunicazioni TCP. Questo standard è progettato per aumentare la robustezza delle comunicazioni TCP rispetto all'analisi predittiva e al monitoraggio degli aggressori. Attualmente tutti i sistemi operativi utilizzano questo nuovo standard per prevenire questo attacco, quindi un utente malintenzionato non sarà in grado di prevedere i numeri di sequenza, ma gli aggressori in determinate circostanze possono comunque indovinarli, sebbene sia molto più difficile di prima.

Attacchi di reindirizzamento ICMP

Questo attacco di rete chiamato ICMP Redirect, consente il reindirizzamento a un host di origine che utilizza un gateway diverso in modo che possa essere più vicino alla destinazione. Logicamente, un attaccante si porrà come un gateway, con l'obiettivo che tutto il traffico lo attraversi per catturarlo, modificarlo o bloccarlo. Questi messaggi vengono inviati ai diversi host, ma oggigiorno questo tipo di attacchi di reindirizzamento ICMP sui sistemi Linux non ne risente, perché internamente lo hanno disabilitato, ma è possibile che in altri sistemi operativi ne risentano.

Attacco al trasferimento di zona DNS

Questo attacco colpisce i server DNS, consiste nel fatto che il server DNS restituisce un elenco di nomi host e indirizzi IP nel dominio, questi trasferimenti di zona vengono normalmente effettuati tra server DNS autorevoli, ma questo attacco potrebbe far sì che i criminali informatici consultino i server DNS per avere un elenco di host da attaccare.