Cracker
In ambito informatico il termine inglese cracker indica colui che entra abusivamente in sistemi altrui allo scopo di danneggiarli, lasciare un segno del proprio passaggio, utilizzarli come teste di ponte per altri attacchi oppure per sfruttare la loro capacità di calcolo o l'ampiezza di banda di rete.I cracker possono essere spinti da varie motivazioni, dal guadagno economico (tipicamente coinvolti in operazioni di spionaggio industriale o in frodi) all'approvazione all'interno di un gruppo di cracker (come tipicamente avviene agli script kiddie, che praticano le operazioni di cui sopra senza una piena consapevolezza né delle tecniche né delle conseguenze).
I media hanno l'abitudine di definire hacker i cracker, mentre, sebbene alcune tecniche siano simili, i primi hanno scopi più costruttivi che distruttivi, come accade invece ai secondi.
Table of contents |
1.1 Attacco esterno
2 Come difendersi1.2 Attacco locale 1.3 Ottenimento di privilegi illimitati 1.4 L'eliminazione delle tracce 3 Voci correlate |
Nonostante sia molto complesso definire in maniera certa il modus operandi del cracker, è possibile grosso modo definire due categorie di attacchi al sistema informatico: l'attacco locale e quello esterno (remoto).
L'attacco esterno ha come finalità:
Per fare questo il cracker si avvale di numerosi software, tra i quali degni di menzione sono i portscanner che effettuano dei portscan al fine di individuare quali servizi internet sono attivi su una determinata macchina. I portscanner più evoluti sono in grado di determinare anche la versione dei vari software che gestiscono il servizio web. Più evoluti dei portscanner sono i security scanner, atti ad individuare le vulnerabilità dei servizi internet.
L'attacco locale viene portato a compimento da individui che hanno accesso fisico alla macchina oppure che hanno accesso al sistema via internet tramite delle console remote che permettono loro di eseguire un limitato numero di operazioni con privilegi altrettanto limitati.
L'ottenimento dello status di root, ovvero utente dai privilegi illimitati, si ottiene mediante lo sfruttamento di vulnerabilità di overflow insite nel servizio internet, come descritto nell'attacco esterno, sfruttando difetti nel kernel (solitamente con un attacco locale), la sovrascrittura di file eseguibili o l'utilizzo dei programmi SETUID, che consentono l'esecuzione di determinate operazioni che necessitano di privilegi differenti (solitamente root).
Essere superutente (ovvero root) si rivela essenziale per i cracker che hanno intenzione di nascondere le tracce del proprio passaggio e fare il bello e il cattivo tempo sulla macchina compromessa. Alcune operazioni che solamente root può fare sono ad esempio: lo sniffing dei dati in transito su un'interfaccia di rete (solitamente password) e l'utilizzo di software in grado di agire a livello di rete molto basso.
L'eliminazione delle tracce del proprio passaggio o della propria presenza è essenziale perchè il cracker si renda totalmente invisibile all'amministratore di sistema. E ciò viene ottenuto tramite:
Oggigiorno esistono numerosi sistemi per difendersi e individuare per tempo questi tipi di attacchi.
Tipologie di attacco
Attacco esterno
portscanner e security scanner
Attacco locale
Ottenimento di privilegi illimitati
L'eliminazione delle tracce
Queste operazioni vengono spesso automatizzate e riassunte tramite dei software chiamati root kit.Come difendersi
il firewall
Il tool più diffuso per proteggere la propria rete o il proprio server è certamente il firewall, che permette di precludere l'accesso a determinati servizi, oppure da un'elenco di sistemi che non si ha intenzione di far accedere ai propri servizi internet.IDS
Altro software di grande efficacia e complessità è l'intrusion detection system (IDS) che, attraverso una serie di regole prestabilite rileva tentativi di intrusione e li notifica all'amministratore.Voci correlate