Guida

Attacchi informatici attivi e passivi: differenze ed esempi oggi

Le minacce cibernetiche sono cresciute in maniera esponenziale negli ultimi anni. L’attenzione è sempre attratta soprattutto dal malware e dal phishing. Ma non vanno dimenticati gli attacchi che prendono di mira le reti su cui corrono i dati e che rappresentano i punti di accesso ai sistemi dove si trovano applicazioni e informazioni. Gli attacchi informatici che sfruttano le comunicazioni fra utenti e sistemi possono essere di due tipi: attivi e passivi. Ecco cosa sono, le differenze e come si possono prevenire

Pubblicato il 12 Feb 2020

Dati Rapporto Clusit 2023 Attacchi informatici attivi e passivi 1

Quando si parla di cyber threat si è sommersi soprattutto da informazioni sui malware e sul phishing, che tramite il social engineering, porta gli utenti ad accedere a siti web veri o fasulli da cui vengono scaricati trojan, virus, ransomware, spyware o effettuati direttamente furti di identità. Sono però da tenere in considerazione anche le minacce che puntano sui network – fissi e wireless – per ottenere credenziali di accesso a risorse informatiche e applicazioni, effettuare operazioni fraudolente e compiere azioni di sabotaggio o spionaggio. Questi attacchi informatici si dividono in attivi e passivi.

Cosa sono gli attacchi informatici attivi

Negli attacchi attivi, l’hacker accede a una rete e ai sistemi target connessi ad essa utilizzando delle credenziali rubate. Il principale attacco informatico di questo tipo è il masquerade attack, in cui l’attaccante assume l’identità di un utente autorizzato e utilizza i privilegi di quest’ultimo per effettuare operazioni su un host o un sito web target. L’hacker può anche ricercare eventuali vulnerabilità sul sistema penetrato e sfruttarle per acquisire ulteriori privilegi.

Fra i principali attacchi informativi attivi vi è anche quello che prevede, da parte dell’attaccante, l’uso dell’identità rubata a un utente legittimo, è il session replay. Questa tecnica sfrutta l’intercettazione delle session ID, numeri unici che i server web assegnano agli utenti per tutta la durata delle sessioni di navigazione. Sovente, le session ID non cambiano se gli utenti chiudono le pagine dei siti ma non il browser. Nel frattempo, gli hacker possono sfruttare le session ID per sostituirsi ai legittimi proprietari.

Altri attacchi attivi sono la message modification, il Denial of service (DoS) e il Distributed Denial of Service (DDoS). Nel primo caso, l’attaccante riesce a modificare gli header dei pacchetti di dati per deviare le comunicazioni verso destinatari diversi da quelli previsti. Nel secondo caso, l’hacker inonda un host o un sito di richieste superiori a quelle che è in grado di gestire, rendendolo inaccessibile ad altri utenti o mettendolo fuori uso. Nel terzo vengono utilizzati, per gli stessi obiettivi, più sistemi distribuiti (botnet).

Cosa sono gli attacchi informatici passivi

Gli attacchi passivi sono quelli in cui l’hacker si limita a intercettare i traffici di dati che avvengono su una rete e sono spesso propedeutici ad attacchi attivi.

Fra i principali attacchi informativi passivi si segnalano l’active reconnaissance e la passive reconnaissance. Nel primo caso, l’intruso interagisce con la rete utilizzando tool di port scanning per individuare eventuali porte vulnerabili. Nella passive reconnaissance si ricercano vulnerabilità solo con l’analisi di traffici di dati intercettati con metodi quali la session capture, che consente di raccogliere enormi moli di dati grezzi.

Sono passive attack anche il war driving e il dumpster diving. Il primo consiste nel percorrere in auto le città alla ricerca di reti Wi-Fi aperte o che non utilizzano la crittografia WEP (Wired Equivalent Privacy). Un esempio di dumpster diving è la ricerca di computer dismessi dai cui hard disk ricavare informazioni quali reti utilizzate, indirizzi IP, siti visitati, cookies, ID e password.

Differenze tra i principali attacchi informatici

Le differenze tra gli attacchi informatici attivi e passivi possono emergere dagli esempi. Gli attacchi attivi sono quelli che implicano la manomissione di dati, mentre gli attacchi passivi consistono in attività di intelligence. Poiché non effettuano alterazioni di dati e di configurazioni sui target, i passive attack sono molto più difficili da individuare. Gli attacchi attivi possono essere contrastati con firewall, intrusion detection system (IDS), intrusion prevention system (IPS), sistemi di security information and event management (SIEM), buone solutioni di identity & access management (IAM) e la crittografia. Contro gli attacchi passivi è fondamentale soprattutto la prevenzione, sia tecnologica (come l’encryption) sia culturale (che consideri anche le prassi di “sanitizzazione” delle tecnologie dismesse). Molto utili anche i test da parte di ethical hacker, fra i più esperti utilizzatori di tecniche di passive attack.

La security è una delle tematiche (all’interno della categoria Soluzioni Infrastrutturali) che verrà trattata nei Digital360 Awards 2020. [Candida il tuo progetto]

New call-to-action

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati