Introduzione all’Ethical Hacking

Sempre più aziende si rivolgono ad esperti di cybersecurity per valutare la sicurezza delle proprie infrastrutture, esperti che, con il permesso del cliente, andranno a replicare i comportamenti e gli attacchi dei veri hacker individuando così possibili vulnerabilità dei sistemi aziendali. 

In questo articolo andremo a spiegare cos’è l’Hacking, dopodiché cos’è l’Ethical Hacking e perché è necessario e ad illustrarne i concetti principali, le tipologie e le fasi.

Panoramica sui concetti di hacking, tipologie e fasi

L’hacking è l’abilità di sfruttare le vulnerabilità di un sistema e compromettere i controlli di sicurezza per accedere alle risorse, può includere modifiche al sistema o alle feature delle applicazioni.

Chi è un hacker? 

Partiamo dal presupposto che l’Hacker ha sicuramente ottime competenze informatiche. Dopodiché quello che distingue un hacker da un altro sono le intenzioni, che possono essere diametralmente opposte, per alcuni può essere solo un hobby, per altri curiosità e sete di conoscenza, per altri il desiderio di compiere azioni illegali. 

Esistono diversi “tipi” di Hacker: 

• Blackhat — Hacker malevolo. L’intenzione è quella di fare qualcosa di illegale o arrecare danno.
• Greyhat — Un hacker che opera da ambo le parti. L’intenzione può essere malevola oppure no.
• Whitehat — Un hacker “bravo ragazzo”. Aiuta le organizzazioni a mettere in sicurezza i propri sistemi.
• Hacktivist — Ha uno scopo politico, spesso di disobbedienza sociale.
• State sponsored hacker — Sono hacker ingaggiati da governi per penetrare altri governi.
• Cyber Terrorist — Sono motivati da un credo religioso o politico.
• Suicide Hacker — Un hacker a cui non interessa finire in carcere o ricevere punizioni (multe).
• Script Kiddies — Un hacker con basse conoscenze tecniche che utilizza strumenti sviluppati da altri.

Quali sono le fasi dell’hacking

1. Reconnaissance — Questa è la prima fase di ogni attacco e mira ad acquisire quante più informazioni sulla rete target, in modo da identificare le possibili strade da percorrere per introdursi nel sistema. Le tipologie di footprinting si dividono in 2 categorie: Passive (non c’è interazione con il target) e Active (interazione diretta con il target). È possibile ottenere informazioni riguardanti l’azienda e la sua organizzazione interna, la rete aziendale e i sistemi utilizzati.
2. Scanning — PRE-ATTACK PHASE: Si effettua uno scan della rete alla ricerca di informazioni specifiche in base alle informazioni ottenute durante la fase precedente. PORT SCANNER: Si utilizzano strumenti come port scanner, vulnerability scanner e network mapper. EXTRACT INFORMATION: L’attaccante estrae informazioni quali le macchine attive e lo stato delle porte.
3. Gaining Access — Fa riferimento all’ottenimento dell’accesso ad un OS o applicazione. L’attaccante può accedere al sistema operativo tramite il livello applicativo o il livello network, cerca di scalare i propri privilegi per ottenere il controllo completo del sistema. Vengono effettuati password cracking, sfruttati buffer overflow, session hijacking e DoS.
4. Maintaining Access — L’attaccante cerca di mantenere il controllo del sistema, si assicura di mettere in sicurezza il proprio accesso privilegiato con backdoor, rootkit o trojan. Può manipolare i dati, le applicazioni e le configurazioni del sistema, inoltre utilizza il sistema compromesso per lanciare ulteriori attacchi.
5. Clearing Tracks — Vengono nascoste le tracce dell’intrusione o dell’attacco. L’accesso ottenuto rimane nascosto. Vengono sovrascritti i log per eliminare i sospetti.

Cos’è l’Ethical Hacking

L’Ethical Hacking si distingue dall’hacking principalmente per le intenzioni. L’Etichal Hacking è una pratica che coinvolge strumenti e tecniche per identificare le vulnerabilità in un sistema e si basa su tecniche che simulano il comportamento di un attaccante per verificare la possibilità di sfruttare tali vulnerabilità. Gli Ethical Hacker lavorano esclusivamente con il permesso del cliente (target).

Perché l’Ethical Hacking è necessario

L’Ethical Hacking previene che gli hacker possano accedere ai nostri sistemi, ci rende coscienti delle vulnerabilità presenti, migliora la sicurezza informatica delle aziende, evita eventuali violazioni, salvaguarda i dati dei clienti e aumenta la security awareness.

Un Ethical Hacker dovrebbe farsi queste domande:

• Cosa può trovare un attaccante nel sistema target?
• Cosa può fare con queste informazioni?
• Qualcuno noterebbe i tentativi di intrusione al sistema target?
• Sono protette tutte le componenti del sistema?
• Quanto sforzo è necessario per ottenere una protezione adeguata?
• Le misure di sicurezza adottate sono conformi con gli standard legali e industriali?

Concetti di Information Security

Un Ethical Hacker deve conoscere alcuni termini essenziali per svolgere il suo lavoro e comprendere le minacce che un sistema o un’azienda può subire.

La terminologia in uso nell’ambiente della sicurezza informatica non fa distizione tra Ethical Hacker e Hacker, in quanto come abbiamo visto prima, la differenza è esclusivamente nello scopo e nell’autorizzazione preventiva del target.

Un altro aspetto fondamentale è la comprensione del rischio, un concetto in genere astratto che deve essere razionalizzato e adattato al proprio contesto operativo.

Terminologia

• HACK VALUE — è un concetto che fa riferimento alla motivazione che induce un hacker a investire tempo in qualcosa senza che questo abbia necessariamente senso per un osservatore.
• VULNERABILITY — Esistenza di una falla, errore di implementazione o di design che può essere sfruttato da un evento inaspettato per compromettere la sicurezza di un sistema.
• EXPLOIT — Una breccia nella sicurezza di un sistema IT tramite una vulnerabilità.
• PAYLOAD — Il payload è la parte di un codice exploit che esegue attività malevole come creare una backdoor, cifrare file.
• ZERO-DAY — Vulnerabilità non ancora patchata dal vendor. Un attacco 0-day sfrutta questo tipo di vulnerabilità prima del rilascio della relativa patch.
• DAISY CHAINING — Consiste nell’accedere ad una rete e/o computer e utilizzarli per accedere ad ulteriori reti e/o computer che contengono le informazioni desiderate.
• DOXING — Pubblicazione di informazioni personali di un soggetto raccolte da fonti aperte (es. Social Media).
• BOT — Un bot è un software che può essere controllato da remoto per eseguire o automatizzare determinati task.

Gli elementi fondamentali dell’Information Security possono essere elencati in 5 punti che descrivono come l’informazione deve essere trattata, verificata e come l’accesso ad essa debba essere autorizzato e verificato. 

• CONFIDENTIALITY — Assicura che l’informazione sia accessibile solo ai soggetti autorizzati.
• INTEGRITY — L’affidabilità di dati o risorse in termini di prevenzione alle modifiche improprie o non autorizzate.
• AVAILABILITY — Assicura che i sistemi responsabili della consegna, memorizzazione ed elaborazione delle informazioni siano accessibili quando un utente autorizzato lo richiede.
• AUTHENTICITY — L’autenticità si riferisce alla caratteristica di una comunicazione, documento o dato, di essere genuina.
• NON-REPUDIATION — Garantisce che il mittente di un messaggio non possa negare di averlo inviato e il destinatario di averlo ricevuto.

Comprendere le minacce alla sicurezza delle informazioni e i vettori di attacco: motivi, scopi e obiettivi degli attacchi alla sicurezza delle informazioni

Capire e non sottostimare quelli che sono gli scopi degli attacchi all’informazione ci permette di avere una visione più chiara e olistica di quali siano i rischi e le minacce rivolte ai nostri sistemi.

Un attacco è il risultato di una semplice equazione qui sotto riportata:

ATTACCO = MOTIVO + METODO + VULNERABILITÀ

• Il motivo nasce quando il sistema target memorizza o elabora qualche informazione preziosa e questo porta alla minaccia di un attacco al sistema.
• Gli attaccanti utilizzano vari strumenti e tecniche di attacco per sfruttare le vulnerabilità in un sistema e raggiungere il proprio scopo.

I motivi dietro un attacco possono essere: furto delle informazioni, manipolazione dei dati, interruzione alla business continuity, instillare paura e caos interrompendo il funzionamento di infrastrutture critiche, perdite economiche, propaganda religiosa o politica, raggiungimento di obiettivi governativi, rovinare la reputazione, vendetta, chiedere un riscatto.

Vettori di attacco più popolari

1. CLOUD COMPUTING THREATS — Il cloud computing offre risorse IT on-demand dove spesso le organizzazioni memorizzano i propri dati e quelli dei propri clienti. Una falla in una cloud application di un cliente potrebbe garantire l’accesso ad un eventuale attaccante ai dati di altri clienti.
2. ADVANCED PERSISTENT THREATS — APT è un tipo di attacco il cui scopo è rubare informazioni alle vittime senza essere rilevato, viene utilizzato anche per identificare gruppi hacker strutturati (APT38).
3. VIRUS E WORM — I virus e i worm sono le minacce più popolari e sono capaci di infettare reti e sistemi molto velocemente.
4. RANSOMWARE — I ransomware inibiscono l’accesso a computer o file cifrandoli e chiedendo un riscatto per il rilascio dei file.
5. MOBILE THREATS — L’aumento dell’utilizzo di device mobili (smartphone e tablet) ha fatto aumentare le minacce verso questo tipo di dispositivi che ad oggi vengono utilizzati sia per scopi personali che aziendali.

Tipologie di attacchi ai sistemi

Nel prossimo articolo vedremo invece quali sono le basi per strutturare una corretta Security Posture con l’utilizzo di policy aziendali, quali sono i controlli per assicurarsi una corretta gestione dell’Information Security e le principali fasi dell’Incident Management.