Come capire quando siamo sotto attacco

  1. Alessio Arrigoni
  2. Blog
  3. Come capire quando siamo sotto attacco

Scopo del presente articolo è quello di fornire le istruzioni di base su come accorgersi di un eventuale "ATTACCO INFORMATICO" in corso.

La maggior parte delle vulnerabilità dei computer possono essere sfruttate in svariati modi. Gli hacker potrebbero ad esempio utilizzare un'errata configurazione di uno dei componenti del sistema, una backdoor lasciata aperta da un attacco precedente o sfruttare uno o più exploit contemporaneamente. Per tale motivo accorgersi di essere oggetto di un attacco non è un compito facile, specialmente per l'utente inesperto. Questa piccola guida fornisce le nozioni di base allo scopo. Naturalmente, in considerazione della complessità della materia, non è possibile avere la presunzione di voler essere esaustivi di tutti i casi possibili.

SISTEMI WINDOWS

Traffico non richiesto in uscita verso internet. Se si utilizza un collegamento Dial-up o ADSL e si nota un insolito elevato volume di traffico in uscita (specialmente quando il computer è in stand-by o non necessariamente in fase di upload), allora è possibile che il computer sia stato compromesso. Potrebbe essere utilizzato per spedire spam o il traffico generato da un worm che cerca di replicarsi spedendo copie di sé stesso. Per i collegamenti via cavo questo è meno rilevante, è molto comune avere la stessa quantità di traffico in entrata ed in uscita anche se non si sta facendo nient'altro che navigare o scaricare dati da internet. In ogni caso è consigliabile accertarsi che il firewall di Windows sia attivo, che risulta molto utile per tenere sotto controllo il traffico in uscita e le applicazioni che tenteranno di contattare l'indirizzo IP ed utilizzare delle porte TCP/IP non usuali.

Un incremento dell'attività dei dischi o la presenza di file sospetti nelle directory root di un drive qualunque. Dopo aver attaccato un sistema, molti hacker eseguono un controllo per cercare ogni documento interessante o file contenente password o log in per conti correnti bancari o sistemi di pagamento telematici come PayPal. Similmente alcuni worm cercano nel disco file contenenti indirizzi di posta elettronica da utilizzare per propagarsi. Una maggiore attività da parte dei dischi anche quando il sistema è in stand-by congiuntamente a file con nomi sospetti in cartelle comuni, potrebbe essere l'indicazione di un attacco o di una infezione da parte di un codice malevolo.

Traffico elevato in ingresso proveniente da un singolo indirizzo bloccato dal personal firewall. Dopo aver localizzato un obiettivo (ad esempio un IP appartenente ad una compagnia o ad un gruppo di home user con collegamento via cavo) gli hacker lanciano normalmente dei programmi per testare la vulnerabilità e provano ad utilizzare vari exploit per entrare nel sistema. Se si sta utilizzando un firewall personale (uno strumento fondamentale nella protezione contro gli attacchi da parte di hacker) e si nota un insolito numero elevato di pacchetti provenienti dallo stesso indirizzo, questo è un chiaro indizio che la macchina è sotto attacco. Il firewall si sta accorgendo di questi attacchi e forse il pericolo è scongiurato. Comunque, a seconda di quanti servizi si espongono ad internet, questi potrebbe fallire nel proteggere da un attacco diretto ad un servizio reso disponibile a tutti. In tal caso la soluzione è bloccare temporaneamente l'IP fino a che i tentativi di connessione cessano e creare una regola sull'indirizzo "incriminato".

L'antivirus installato improvvisamente inizia a riportare che sono stati rilevati dei Trojan o delle Backdoor, anche se non si è fatto niente fuori dal comune. Sebbene gli attacchi hacker possano essere complessi ed innovativi, molti si basano su trojan noti o backdoor, per avere pieno accesso ad un sistema compromesso. Se l'antivirus installato si dovesse accorgere e riportare la presenza di un malware, questa potrebbe essere una chiara indicazione che il sistema può essere accessibile dall'esterno.

SISTEMI UNIX

File con nomi sospetti nella cartella /tmp. Molti exploit nel mondo Unix si basano sulla creazione di file temporanei nella cartella /tmp standard che non sono normalmente cancellati dopo l'attacco del sistema. Lo stesso dicasi per alcuni worm. Questi si ricopiano nella cartella /tmp e la utilizzano come home.

Binari di sistema modificati come "log-in", "Telnet", "ftp", "finger" o daemon più complessi, "sshd", "ftpd" e simili. Dopo essere entrati in un sistema, l'hacker di solito tenta di assicurarsi un sicuro accesso creando una backdoor in uno dei daemon con accesso diretto da internet, o dalla modifica di utility standard di sistema che sono utilizzate per connettersi ad altri sistemi. I binari modificati sono solitamente parte di un rootkit e generalmente sono nascosti ad un controllo superficiale. In ogni modo, è buona norma mantenere un database di tutto il software installato e verificarne l'integrità in modalità off-line periodicamente.

Presenza di nuovi utenti del sistema. Alcune volte gli attacchi hacker potrebbero aggiungere un nuovo utente in modo da loggarsi in remoto in un momento successivo. Bisogna cercare eventuali username sospetti nel file delle password e controllare ogni nuovo account che si dovesse aggiungere, specialmente in un sistema multi utente.

Presenza di Backdoor. Aprire una backdoor in un sistema Unix a volte consiste nell'aggiungere due righe di script, ciò si ottiene modificando file come /etc/services e come /etc/ined.conf. Bisogna controllare attentamente questi due file per ogni eventuale modifica che potrebbe indicarne una backdoor collegata ad una porta inutilizzata sospetta.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.

Ti potrebbe anche interessare

Leggi le ultima novità dal blog.

Le caratteristiche di un buon antivirus

Leggi tutto...
Ormai l’antivirus è diventato un elemento importante nella nostra quotidianità informatica, se consideriamo che siamo immersi da oggetti tecnologici che potrebbero essere attacca ...

Le più comuni tattiche per rubare le nostre password

Leggi tutto...
La protezione di un qualsiasi account online avviene mediante una password associata ad un nome utente. La maggior parte delle volte cerchiamo di evitare gli errori più banali e siamo convint ...

Come proteggere il nostro PC dalle infezioni della rete

Leggi tutto...
Come i virus delle malattie sono sempre pronti a colpire negli ambienti malsani se non si è adeguatamente protetti, anche i virus informatici sono pronti a colpire quando si naviga in interne ...

Le catene di Sant'Antonio

Leggi tutto...
Sappiamo tutti cosa sono le catene di Sant'Antonio nel mondo reale, ma dobbiamo sapere che anche nel mondo di internet esistono.In particolare le catene di Sant'Antonio non sono altro che mail partite ...

Gli antivirus gratuiti senza pubblicità

Leggi tutto...
Su tutti i computer è necessario un antivirus come misura minima di sicurezza per proteggersi da malware, virus informatici e infezioni provenienti dal web. Molti sono gli antivirus gratuit ...

I crimini informatici per il 2014

Leggi tutto...
L'anno che è concluso da poco più di un mese, dal punto di vista del crimine informatico, ha visto un sensibile incremento dei malware per il sistema operativo Android, e a detta degli esperti, l'anno ...

Articoli recenti

Leggi le ultima novità dal blog.

Intelligenza artificiale: i pro e i contro

Leggi tutto...
Tema molto dibattuto in questi ultimi tempi: l’intelligenza artificiale. Argomento di grande rilevanza nella società odierna, che suscita sia entusiasmo che preoccupazione. Da un lato, ...

Cosa sono i dati basati su SSD ?

Leggi tutto...
Le SSD (acronimo di solid state drive, o unità di memoria a stato solido) sono delle unità di memoria particolarmente popolari nel mondo dei giocatori di videogiochi. Essendo i videogi ...

Perché utilizzare una VPN per l'accesso al cloud ?

Leggi tutto...
Il 2020 ha visto un enorme aumento del crimine informatico. Sebbene le persone non andassero in ufficio a causa delle preoccupazioni relative al COVID-19, molti si sono trovati inclini a maggiori ri ...

Errori comuni nell’archiviazione dei dati: quali sono e come evitarli ?

Leggi tutto...
Errori comuni nell’archiviazione dei dati: quali sono e come evitarli? Siamo nell’era digitale in cui di dati e le informazioni sul web sono una componente chiave di qualsiasi tipo di ...

Consigli sulla sicurezza: come il vostro computer potrebbe compromettersi nel momento peggiore

Leggi tutto...
La sicurezza del proprio dispositivo è oggi qualcosa a cui si deve prestare una particolare attenzione. La rete è invasa da sempre più pericoli, in grado di compromettere i vost ...

Scegliere una password sicura per qualsiasi account

Leggi tutto...
Al giorno d'oggi è estremamente facile subire un attacco ai propri account, specie se riguardano servizi bancari o postali o permettono di fare acquisti online. Per poter evitare che i ...