Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Cybercrime: Tipi di Attacchi Informatici e Criminali Online - Prof. Fabbro, Slide di Fondamenti di informatica

Diversi tipi di attacchi informatici e criminali online, come hacker, cracker, hactivist, cyberspia, cyberterrorista e cybercombattente. Vengono inoltre illustrate le modalità e tecniche di attacco, come zero-day attack, e-mail account takeover, spoofing, DDoS e injection. inoltre informazioni sui principali attacchi e le relative conseguenze, nonché sui principali strumenti e normative per la protezione dei servizi ICT.

Tipologia: Slide

2019/2020

Caricato il 25/10/2021

UniMy
UniMy 🇮🇹

4

(2)

13 documenti

1 / 6

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
LA CYBERSECURITY
“L’unico computer sicuro è quello nuovo ancora imballato sullo scaffale del rivenditore”.
Gli attacchi informatici
4 miliardi di individui connessi: come ci sono criminali nel mondo reale, ci sono nel mondo
virtuale. Nel mondo virtuale però i fenomeni si manifestano in modo diverso, la sociologia è
differente, i comportamenti degli individui diversi. Lo stesso individuo si comporta
diversamente nel virtuale rispetto al reale. Contrastare la cybercriminalità è diverso dal
contrastare la criminalità tradizionale. Proteggere il PC non vuol dire essere certi che
nessuno potrà mai impossessarsi dei nostri dati, ma i professionisti veri, quelli in grado di
violarlo non sprecano il loro talento per rubare il contenuto di quel PC rischiando comunque
(anche poco) di essere individuati e puniti (severamente, oggi si rischiano anni di galera)
senza un’adeguata contropartita. Forse con costoro possiamo essere tranquilli.
Gli autori, le motivazioni, i contesti
L’hacker vuole mettere alla prova sé stesso per dimostrare di essere più bravo o trovare
difetti nella sicurezza dei sistemi come se fosse un gioco di enigmistica. Qualcuno lo fa anche
sapere al violato. Non fa danno, ma è comunque un’azione illegale ed è punita. Possiamo
però stare ragionevolmente tranquilli: come privati cittadini, non siamo divertenti, per loro
sarebbe impresa troppo facile e probabilmente non ce ne accorgeremmo neppure.
Sono una specie però in via di estinzione: le pene introdotte non sono per nulla divertenti.
Ora gli hacker si esercitano in vere e proprie “palestre” messe a disposizione dai fornitori di
antivirus e partecipano a gare di abilità, tutto perfettamente legale. I fornitori di antivirus
hanno dei validi test, gli hacker l’opportunità di misurarsi fra loro.
cracker
Sono i “cattivi”: si introducono nel sistema per fare danno o appropriarsi delle risorse
informatiche per scopi illeciti. Molto temuti:
• distruggono files
• introducono virus
• si appropriano del controllo dei PC per usarli per fare spam, tentativi di violazione di
password, attacchi informatici, ecc.
• si appropriano dell’identità informatica /digitale per commettere illeciti a nome di altri
hactivist
Versione «impegnata» del cracker: hanno motivazioni ideologiche e politiche, si sentono
«giustizieri» del web. Non di rado godono dell’amicizia e simpatia del popolo della rete per
effetto delle loro azioni (ma non è legale farsi giustizia da sé, ci sono le forze dell’ordine e la
magistratura per questo)
cyberspia
Gli «007» versione virtuale: lo spionaggio si è spostato sul cyberspazio (ci sono più
informazioni da trafugare introducendosi nel sistema informativo di un’azienda o di un ente
governativo che introducendosi nella sede dell’azienda o dell’ente governativo)
pf3
pf4
pf5

Anteprima parziale del testo

Scarica Cybercrime: Tipi di Attacchi Informatici e Criminali Online - Prof. Fabbro e più Slide in PDF di Fondamenti di informatica solo su Docsity!

LA CYBERSECURITY

“L’unico computer sicuro è quello nuovo ancora imballato sullo scaffale del rivenditore”. Gli attacchi informatici 4 miliardi di individui connessi: come ci sono criminali nel mondo reale, ci sono nel mondo virtuale. Nel mondo virtuale però i fenomeni si manifestano in modo diverso, la sociologia è differente, i comportamenti degli individui diversi. Lo stesso individuo si comporta diversamente nel virtuale rispetto al reale. Contrastare la cybercriminalità è diverso dal contrastare la criminalità tradizionale. Proteggere il PC non vuol dire essere certi che nessuno potrà mai impossessarsi dei nostri dati, ma i professionisti veri, quelli in grado di violarlo non sprecano il loro talento per rubare il contenuto di quel PC rischiando comunque (anche poco) di essere individuati e puniti (severamente, oggi si rischiano anni di galera) senza un’adeguata contropartita. Forse con costoro possiamo essere tranquilli. Gli autori, le motivazioni, i contesti L’ hacker vuole mettere alla prova sé stesso per dimostrare di essere più bravo o trovare difetti nella sicurezza dei sistemi come se fosse un gioco di enigmistica. Qualcuno lo fa anche sapere al violato. Non fa danno, ma è comunque un’azione illegale ed è punita. Possiamo però stare ragionevolmente tranquilli: come privati cittadini, non siamo divertenti, per loro sarebbe impresa troppo facile e probabilmente non ce ne accorgeremmo neppure. Sono una specie però in via di estinzione: le pene introdotte non sono per nulla divertenti. Ora gli hacker si esercitano in vere e proprie “palestre” messe a disposizione dai fornitori di antivirus e partecipano a gare di abilità, tutto perfettamente legale. I fornitori di antivirus hanno dei validi test, gli hacker l’opportunità di misurarsi fra loro. cracker Sono i “cattivi”: si introducono nel sistema per fare danno o appropriarsi delle risorse informatiche per scopi illeciti. Molto temuti:

  • distruggono files
  • introducono virus
  • si appropriano del controllo dei PC per usarli per fare spam, tentativi di violazione di password, attacchi informatici, ecc.
  • si appropriano dell’identità informatica /digitale per commettere illeciti a nome di altri hactivist Versione «impegnata» del cracker: hanno motivazioni ideologiche e politiche, si sentono «giustizieri» del web. Non di rado godono dell’amicizia e simpatia del popolo della rete per effetto delle loro azioni (ma non è legale farsi giustizia da sé, ci sono le forze dell’ordine e la magistratura per questo) cyberspia Gli «007» versione virtuale: lo spionaggio si è spostato sul cyberspazio (ci sono più informazioni da trafugare introducendosi nel sistema informativo di un’azienda o di un ente governativo che introducendosi nella sede dell’azienda o dell’ente governativo)

cyberterrorista Nuova forma di terrorismo, molto preoccupante: tutto o quasi poggia su infrastrutture informatiche. Immaginate se:

  • venisse introdotto un virus informatico nel sistema di controllo di una centrale nucleare, del sistema di smistamento del traffico ferroviario, ecc.
  • venisse messo fuori uso il sistema informatico di distribuzione dell’energia elettrica o del gas cybercombattente E’ un soldato informatico che combatte una guerra a tutti gli effetti, solo che lo fa con un computer e non con i carri armati. Programmano attacchi digitali e non sono meno pericolosi di attacchi con armi «tradizionali» LE PRINCIPALI MODALITÀ DI ATTACCO Zero-day attack L’attacco che non si è mai verificato prima, la novità assoluta. Esiste sempre uno (o più) zero day attack, perché l’inventiva di 4 miliardi di persone non ha limite (e c’è sempre una prima volta). Pericoloso perché sconosciuto e non si sa come difendersi finché non lo si è sconfitto. Recenti normative obbligano a comunicare se si è subito un attacco in modo da diffondere la notizia e ridurre la propagazione. E-mail account takeover Rubano gli indirizzi di email in Outlook o altro sistema di posta elettronica. Sono indirizzi validi e attendibili, possono superare le barriere degli anti-spam e degli anti-virus ed essere usati per inviare mail fraudolente o diffondere malware. Noi (e gli antivirus) pensiamo che siano state mandate da persone conosciute e attendibili e rischiamo di rimanere infettati. Mai aprire allegati provenienti da indirizzi e-mail non ben conosciuti o con contenuti sospetti. Phishing Il pirata informatico invia una moltitudine di mail a caso o usando indirizzi presi da un attacco E-mail account takeover dove chiede userid e password o anche informazioni bancarie o altro. Credential replay Come sono composte? Contengono – tutto o in parte – nome, cognome, data di nascita, codice fiscale, nome e cognome di parenti, ecc.? E’ più semplice decodificarla: non è difficile risalire a queste informazioni e a fare un software che le combina e prova in automatico. Social engineering E’ una manipolazione psicologica, l’informatica è poi il mezzo per portare a compimento la truffa. Si procurano le credenziali di un utente (basta solo venire in possesso di una fattura o anche dal sito web di un’azienda), come ad esempio il nome, cognome, azienda per cui lavorano, funzione che rivestono, banca che utilizzano. Contattano il malcapitato e all’interno di una scenografia appositamente costruita per distogliere l’attenzione e lo convincono a fare le operazioni che vogliono.

ICMP (Internet Control Message Protocol) flood Quando si riceve un messaggio di errore dalla rete il programma che abbiamo utilizzato (ad esempio un browser) lo riceve senza troppi controlli tranne – ma non tutti – controllare che provenga da fonte attendibile. Se un hacker è bravo a fare spoofing e farsi accettare come fonte attendibile, può lanciare tantissimi messaggi di quel tipo e mandare «in tilt» il computer attaccato. SYN (SYNcronize) flood «SYN» indicano messaggi sincroni, ovvero che richiedente attende la risposta del server o viceversa. La richiesta di connessione ad un server (o ad un sito) è un messaggio sincrono: «mi hai chiesto di collegarti. OK, va bene, puoi collegarti, aspetto che tu mi dia le credenziali». Invece di collegarsi, l’attaccante fa spooging e invia un’altra richiesta e così via finché il server ha troppe richieste in attesa senza risposta e va in tilt. http post dos attack Difetto di progettazione di molti siti web: la richiesta di connessione ha un campo nel quale viene memorizzato un messaggio che fa parte della richiesta, ma sono stati programmati per accettare messaggi molto lunghi, anche 2 giga. L’attaccante fa la richiesta di connessione, ma invia a velocità ridottissima il messaggio (1 byte ogni 2- 3 minuti, appena un po’ sotto il timeout). Invia quindi molte richieste di questo tipo finchè il server è tutto occupato ad aspettare i lentissimi completamenti… ed è indisponibile per le richieste degli utenti veri. Cryptolocking (ransomware) Attraverso qualche tecnica (injection, phishing, allegati infetti, ecc.) si colloca un programma sul computer della vittima che utilizza meccanismi di crittografia per cifrare le informazioni rendendole illeggibili. Il programma inizia a replicarsi e a cambiare nome ed agisce così per molto tempo, anche mesi, in modo da infettare anche i backup. Quindi si attiva, cripta le informazioni e se l’utente vuole di nuovo accederle, deve pagare un riscatto. Neppure i backup lo aiutano perché sono infetti anche quelli. Keylogging Attraverso qualche tecnica (injection, phishing, allegati infetti, ecc.) si colloca un programma sul computer della vittima che registra ciò che la vittima scrive e lo comunica al cyberpirata.

_- può conoscere le credenziali di accesso al PC dell’attaccato

  • può conoscere le credenziali che usa l’attaccato per accedere ai siti ai quali è registrato (banca, social, ecc.)
  • può intercettare conversazioni e comunicazioni private I token con le password usa e getta sono efficaci, ma per connettersi al proprio PC non si usano  non accedono alla banca ma alle informazioni residenti sul PC si._ LE NORMATIVE PER IL SOSTEGNO ALLA PROTEZIONE DEI SERVIZI ICT La direttiva NIS (Network Information Security) Direttiva UE che ha l’obiettivo di conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi tramite specifiche misure organizzative e di diffusione delle informazioni fra gli stati membri.
  • Individua gli operatori di servizi essenziali e i fornitori di servizi digitali ai quali chiede di avere appropriate misure di cybersecurity
  • Chiede agli stati membri di dotarsi di uno CSIRT (Computer Security Incident Response Team), NIS autority nazionali e cooperare con gli altri stati membri (rete CSIRT) scambiandosi informazioni sugli attacchi e gli incidenti gravi subiti. NIST – Cyber Security Framework e framework nazionale italiano Fornisce un completo (e aggiornato) quadro sinottico di tutti gli ausili e best practices che si possono utilizzare nell’implementare e manutenere il framework che un ente governativo o un’impresa possono definire per governare il proprio impianto di sicurezza informatica. Il cuore del framework schematizza la struttura del processo di gestione della cybersecurity. IDENTIFY: comprensione ed identificazione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. PROTECT: misure per la protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica. DETECT: definizione e modalità di attuazione di attività finalizzate all’identificazione tempestiva degli incidenti di sicurezza informatica RESPOND: definizione e modalità di attuazione delle attività in risposta al verificarsi di un incidente di sicurezza informatica (misure reattive). RECOVER: definizione e modalità di attuazione delle attività di ripristino dei processi e dei servizi impattati da un incidente informatico. DIGITAL FORENSICS “disciplina digitale forense” è un ambito complesso tecnicamente e giuridicamente ed in continua e sostenuta espansione ed evoluzione. Disk forensics Uno dei primi aspetti trattati: le informazioni probanti erano contenute principalmente nei dischi fissi o nei supporti di memoria fisica non volatile. Se si sospetta che un supporto di memoria possa contenere prove, deve essere immediatamente sequestrato ed affidato ad una società terza specializzata, riconosciuta ed accreditata dalle autorità. Questa provvederà a proteggere il supporto da operazioni di scrittura e generare un hash code del contenuto quindi lo sigilla. Non si lavora più sugli originali, ma su copie la cui conformità è garantita dall’hash. Web forensics Gli autori di illeciti sul web possono essere individuati e puniti se si riesce a garantire la producibilità di prove che consistono in tracce digitali sul web come accessi, visualizzazioni, messaggi, mail… Molto più complesso della disk forensics:
  • coinvolge provider di servizi di hosting
  • necessita di acquisire log file e di acquisirli secondo specifiche procedure per garantirne l’autenticità e originalità
  • necessita di acquisire tutti gli strumenti utilizzati per l’illecito (malware, IP spoofed, tracce digitali di passaggio – migliaia di pagine visitate, ecc.) Mobile forensics