Esistono numerosi metodi per sfruttare la maggior parte delle vulnerabilità. Per condurre un attacco hacker, in effetti, si può utilizzare un exploit, oppure diversi exploit contemporaneamente; in alternativa, si può ricorrere alla configurazione errata di determinati componenti software, persino all’utilizzo di un programma backdoor installato nel sistema operativo durante l’esecuzione di un precedente attacco.
Per i suddetti motivi, il rilevamento di un simile assalto informatico diviene un compito tutt’altro che agevole, soprattutto per l’utente inesperto. In questa sezione cercheremo di formulare quei consigli che possono aiutare il lettore a determinare se il proprio computer è effettivamente sottoposto ad un attacco hacker, oppure se la protezione installata nella macchina è stata già violata precedentemente. Tenete ben presente che, come nel caso dei virus, nessuno può garantire al 100% che l’attacco hacker potrà essere neutralizzato attraverso l’utilizzo di simili metodi. Tuttavia, se il vostro sistema informatico è stato già compromesso, di sicuro rileverete alcuni dei sintomi qui di seguito descritti.
Computer Windows:
- Traffico in uscita sospettosamente elevato. Se utilizzate una connessione dial-up o ADSL ed avete rilevato un volume di traffico di rete in uscita insolitamente elevato (il quale si manifesta, in particolar modo, quando il vostro computer è in funzione ed è collegato ad Internet, ma voi non lo state utilizzando), il vostro computer, probabilmente, è stato compromesso. Di fatto, tale macchina può essere utilizzata da malintenzionati per l’invio furtivo di spam o per realizzare il processo di diffusione di temibili worm di rete, intenti ad autoreplicarsi e ad inviare in Internet copie di se stessi.
- Aumento dell’attività dell’hard disk o presenza di file sospetti nelle directory root di determinati drive. Molti hacker, una volta violato il computer preso di mira, eseguono un’accurata scansione delle informazioni in esso custodite, in cerca di documenti e file per loro interessanti, in particolar modo quelli contenenti login e password relativi agli account di banking online o a determinati sistemi di pagamento elettronico, quali, ad esempio, PayPal. Alcuni worm di rete, in maniera simile, provvedono a ricercare sull’hard disk i file contenenti gli indirizzi e-mail; questi ultimi, in seguito, vengono utilizzati per l’invio di messaggi di posta infetti. Se avete notato una significativa attività da parte del disco rigido, anche quando il computer rimane inattivo, mentre all’interno delle cartelle pubbliche hanno iniziato ad apparire file dai nomi sospetti, può trattarsi, anche in tale circostanza, di un preciso segnale riguardo al fatto che il vostro computer è stato violato, oppure che il sistema operativo in esso installato è stato colpito da un’infezione informatica, generata da un programma malware.
- Un elevato numero di pacchetti, tutti provenienti dallo stesso indirizzo, viene bloccato dal firewall personale. Una volta definito il target (ad esempio la gamma di indirizzi IP relativi ad una determinata società o ad una rete domestica), gli hacker, in genere, lanciano l’esecuzione di tool di scansione automatica, i quali cercano di avvalersi di un kit composto da vari exploit per penetrare all’interno del sistema. Se avete in esecuzione un firewall personale (strumento fondamentale nella protezione contro gli attacchi hacker) e rilevate che è stato bloccato un numero insolitamente elevato di pacchetti, tutti provenienti dallo stesso indirizzo, siamo in presenza di un’ulteriore, precisa indicazione riguardo al fatto che il vostro computer si trova, in quel momento, sotto attacco. Ad ogni caso, se il vostro firewall segnala di aver bloccato pacchetti del genere, il computer, con ogni probabilità, è al sicuro. Molto dipende, tuttavia, da quali siano, in quei frangenti, i servizi in esecuzione che risultano “esposti” per un eventuale accesso da Internet. Così, ad esempio, il vostro firewall personale potrebbe anche non essere in grado di fronteggiare un eventuale attacco rivolto ad uno specifico servizio FTP, reso accessibile a tutti, all’opera sul vostro sistema informatico. In tal caso, la soluzione al problema è rappresentata dal totale blocco temporaneo degli IP pericolosi, finché non si interrompono i tentativi di connessione. La maggior parte dei firewall personali è provvista di una simile funzionalità.
- La protezione antivirus installata sul vostro computer rileva la presenza di programmi trojan o backdoor, sebbene tutto il resto funzioni normalmente. Per quanto gli attacchi hacker possano talvolta rivelarsi complessi e caratterizzati da tratti inusuali, la maggior parte dei malintenzionati ricorre all’impiego di trojan o backdoor ben conosciuti, i quali consentono di assumere il pieno controllo del computer sottoposto ad attacco. Se l’antivirus individua la presenza, sul vostro computer, di simili programmi malware, può trattarsi di un preciso segnale riguardo al fatto che il computer che state utilizzando risulta in pratica “esposto” ad un eventuale accesso da remoto, non autorizzato.
Computer UNIX:
- File con nomi sospetti nella cartella “/tmp”. Molti exploit, nel mondo UNIX, si basano sulla creazione di file temporanei nella cartella standard “/tmp”, file che non sempre vengono rimossi dopo che il computer è stato violato. Lo stesso vale per alcuni worm appositamente creati dai virus writer per infettare i sistemi UNIX; essi si “ricompilano” nel folder “/tmp”, e poi utilizzano tale cartella in qualità di loro specifica “abitazione”.
- File eseguibili modificati, relativi a servizi di sistema quali “login”, “telnet”, “ftp”, “finger”, o persino più complessi, del tipo “sshd”, “ftpd” ed altri ancora. Una volta penetrato nel sistema, l’hacker tenta, abitualmente, di “radicarsi” all’interno dello stesso, collocando un’apposita backdoor in uno dei servizi accessibili da Internet, oppure modificando utility di sistema standard, normalmente utilizzate per connettersi ad altri computer. Tali file eseguibili modificati fanno di solito parte della composizione di un rootkit e risultano, di fatto, “nascosti” nei confronti di eventuali analisi dirette. Ad ogni caso, si rivela particolarmente utile allestire un database delle checksum relative a tutte le utility di sistema, verificando poi periodicamente le stesse quando il sistema è offline, in modalità utente singolo, allo scopo di controllare se sono effettivamente cambiate.
- Risultano modificati i file “/etc/passwd”, “/etc/shadow”, oppure altri file di sistema contenuti nella cartella “/etc”. A volte, un attacco hacker può produrre la comparsa di un nuovo utente nel file “/etc/passwd”, il quale, successivamente, può collegarsi da remoto al sistema. Tenete traccia di tutti i cambiamenti che si verificano nel file contenente le password, e monitorate, in special modo, l’eventuale comparsa di utenti che presentano username sospetti.
- Aggiunta di servizi sospetti in “/etc/services”. L’installazione di una backdoor, in un sistema UNIX, viene spesso realizzata mediante l’aggiunta di due stringhe di testo ai file “/etc/services” e “/etc/ined.conf”. Occorre pertanto monitorare costantemente tali file, per non mancare il momento in cui eventualmente compaiono, al loro interno, nuove stringhe, in grado di generare l’installazione di un programma backdoor su una porta precedentemente inutilizzata o sospetta.