4 tipi di attacchi attivi e come proteggersi da essi

Un attacco attivo è un attacco informatico pericoloso perché tenta di alterare le risorse o le operazioni della rete del computer. Gli attacchi attivi spesso provocano perdite di dati non rilevate, danni al marchio e un aumento del rischio di furto di identità e frode.

Gli attacchi attivi rappresentano oggi la minaccia con la massima priorità per le aziende. Fortunatamente, ci sono cose che puoi fare per prevenire questi attacchi e mitigare gli effetti se si verificano.

Cosa sono gli attacchi attivi?

In un attacco attivo, gli attori delle minacce sfruttano i punti deboli nella rete del bersaglio per ottenere l’accesso ai dati al suo interno. Questi attori delle minacce possono tentare di iniettare nuovi dati o controllare la diffusione dei dati esistenti.

Gli attacchi attivi comportano anche la modifica dei dati nel dispositivo del bersaglio. Questi cambiamenti vanno dal furto di informazioni personali all’acquisizione completa della rete. Spesso vieni avvisato che il sistema è stato compromesso poiché questi attacchi sono facilmente rilevabili, ma fermarli una volta che sono iniziati può essere piuttosto impegnativo.

Le piccole e medie imprese, comunemente note come PMI, di solito sopportano il peso maggiore degli attacchi attivi. Questo perché la maggior parte delle PMI non ha le risorse per procurarsi misure di sicurezza informatica di fascia alta. E poiché gli attacchi attivi continuano a evolversi, queste misure di sicurezza devono essere aggiornate regolarmente o lasciano la rete vulnerabile agli attacchi avanzati.

Come funziona un attacco attivo?

La prima cosa che gli attori delle minacce faranno dopo aver identificato l’obiettivo è cercare le vulnerabilità all’interno della rete dell’obiettivo. Questa è una fase preparatoria per il tipo di attacco che stanno pianificando.

Usano anche scanner passivi per ottenere informazioni sul tipo di programmi in esecuzione sulla rete del bersaglio. Una volta scoperte le debolezze, gli hacker possono utilizzare una delle seguenti forme di attacchi attivi per minare la sicurezza della rete:

1. Attacco di dirottamento della sessione

In un attacco di dirottamento della sessione, noto anche come riproduzione di sessione, attacchi di riproduzione o attacchi di riproduzione, gli autori delle minacce copiano le informazioni sull’ID della sessione Internet del bersaglio. Usano queste informazioni per recuperare le credenziali di accesso, impersonare gli obiettivi e rubare ulteriormente altri dati sensibili dai loro dispositivi.

Questa rappresentazione viene eseguita utilizzando i cookie di sessione. Questi cookie lavorano insieme al protocollo di comunicazione HTTP per identificare il tuo browser. Ma rimangono nel browser dopo che ti sei disconnesso o hai terminato la sessione di navigazione. Questa è una vulnerabilità che gli attori delle minacce sfruttano.

Recuperano questi cookie e ingannano il browser facendogli credere che tu sia ancora online. Ora gli hacker possono ottenere tutte le informazioni che desiderano dalla tua cronologia di navigazione. In questo modo possono ottenere facilmente i dettagli della carta di credito, le transazioni finanziarie e le password degli account.

Esistono altri modi in cui gli hacker possono ottenere l’ID di sessione del loro obiettivo. Un altro metodo comune prevede l’utilizzo di collegamenti dannosi, che portano a siti con un ID già pronto che l’hacker può utilizzare per dirottare la sessione di navigazione. Una volta sequestrati, i server non avrebbero modo di rilevare alcuna differenza tra l’ID di sessione originale e l’altro replicato dagli autori delle minacce.

2. Attacco di modifica del messaggio

Questi attacchi sono principalmente basati sulla posta elettronica. Qui, l’autore della minaccia modifica gli indirizzi dei pacchetti (contenenti l’indirizzo del mittente e del destinatario) e invia la posta a una posizione completamente diversa o modifica il contenuto per entrare nella rete del bersaglio.

Gli hacker requisiscono la posta tra il bersaglio e un’altra parte. Quando questa intercettazione è completa, hanno la libertà di eseguire qualsiasi operazione su di essa, inclusa l’iniezione di collegamenti dannosi o la rimozione di qualsiasi messaggio all’interno. La posta continuerà quindi il suo viaggio, senza che il destinatario sappia che è stata manomessa.

3. Attacco mascherato

Questo attacco sfrutta i punti deboli nel processo di autenticazione della rete del bersaglio. Gli autori delle minacce utilizzano i dettagli di accesso rubati per impersonare un utente autorizzato, utilizzando l’ID dell’utente per ottenere l’accesso ai server presi di mira.

In questo attacco, l’autore della minaccia, o masquerade, potrebbe essere un dipendente all’interno dell’organizzazione o un hacker che utilizza una connessione alla rete pubblica. Processi di autorizzazione permissivi potrebbero consentire l’ingresso a questi aggressori e la quantità di dati a cui avrebbero accesso dipende dal livello di privilegio dell’utente impersonato.

Il primo passaggio in un attacco mascherato consiste nell’utilizzare uno sniffer di rete per ottenere pacchetti IP dai dispositivi del bersaglio. Questi indirizzi IP falsificati ingannano i firewall del bersaglio, aggirandoli e ottenendo l’accesso alla loro rete.

4. Attacco Denial of Service (DoS).

In questo attacco attivo, gli autori delle minacce rendono le risorse di rete non disponibili per gli utenti previsti e autorizzati. Se subisci un attacco DoS, non sarai in grado di accedere alle informazioni, ai dispositivi, agli aggiornamenti e ai sistemi di pagamento della rete.

Esistono vari tipi di attacchi DoS. Un tipo è l’attacco di overflow del buffer, in cui gli autori delle minacce inondano i server del bersaglio con molto più traffico di quanto possano gestire. Ciò causa l’arresto anomalo dei server e, di conseguenza, non sarai in grado di accedere alla rete.

C’è anche l’attacco dei puffi. Gli attori delle minacce utilizzeranno dispositivi completamente configurati in modo errato per inviare pacchetti ICMP (Internet Control Message Protocol) a diversi host di rete con un indirizzo IP falsificato. Questi pacchetti ICMP vengono in genere utilizzati per determinare se i dati raggiungono la rete in modo ordinato.

Gli host che sono i destinatari di questi pacchetti invieranno messaggi alla rete e con molte risposte in arrivo, il risultato è lo stesso: server bloccati.

Come proteggersi dagli attacchi attivi

Gli attacchi attivi sono all’ordine del giorno e dovresti proteggere la tua rete da queste operazioni dannose.

La prima cosa da fare è installare un firewall di fascia alta e un sistema di prevenzione delle intrusioni (IPS). I firewall dovrebbero far parte della sicurezza di qualsiasi rete. Aiutano a cercare attività sospette e bloccano quelle rilevate. IPS monitora il traffico di rete come i firewall e adotta misure per proteggere la rete quando viene identificato un attacco.

Un altro modo per proteggersi dagli attacchi attivi consiste nell’utilizzare chiavi di sessione casuali e password monouso (OTP). Le chiavi di sessione vengono utilizzate per crittografare la comunicazione tra due parti. Una volta terminata la comunicazione, la chiave viene scartata e ne viene generata una nuova in modo casuale quando inizia un’altra comunicazione. Ciò garantisce la massima sicurezza, in quanto ogni chiave è unica e non può essere replicata. Inoltre, quando una sessione è terminata, la chiave per quel periodo non può essere utilizzata per valutare i dati scambiati durante la sessione.

Le OTP funzionano sulla stessa premessa delle chiavi di sessione. Sono caratteri alfanumerici/numerici generati casualmente che sono validi per un solo scopo e scadono dopo un periodo specifico. Sono spesso usati in combinazione con una password per fornire l’autenticazione a due fattori.

Hacker e attaccanti, firewall e 2FA

Gli attacchi attivi sfruttano i punti deboli nei protocolli di autenticazione di una rete. Pertanto, l’unico modo comprovato per prevenire questi attacchi è utilizzare firewall, IPS, chiavi di sessione casuali e, soprattutto, autenticazione a due fattori. Tale autenticazione può essere una combinazione di una chiave generata casualmente, un nome utente e una password.

Questo potrebbe sembrare noioso, ma man mano che gli attacchi attivi si evolvono e diventano ancora più spietati, i processi di verifica dovrebbero essere all’altezza della sfida, proteggendosi da questi attacchi in arrivo. Ricorda che una volta che gli attori delle minacce sono nella tua rete, sarebbe difficile stanarli.