Fonte: http://valeriacarella.altervista.org/2014/04/04/inside-hackers-mind-la-scansione/
La Scansione.
Dopo aver parlato dei modi che ha un hacker per profilare il suo bersaglio nel capitolo Footprinting, ci occupiamo adesso di scoprire quali porte di accesso potremmo sfruttare per bucare il suo sistema.
Con l'IP sappiamo l'indirizzo fisico del bersaglio, ma non sappiamo ancora quali siano le vulnerabilità del suo sistema.In altre parole dobbiamo capire se ha lasciato qualche porta aperta o la chiave sotto lo zerbino. :-)
Partiamo da una piccola premessa. Ogni dispositivo hardware è dotato di un indirizzo che lo identifica fisicamente, detto anche indirizzo MAC. I protocolli TCP/IP versione 4 si occupano tra le altre cose di assegnare un indirizzo logico univoco per ogni dispositivo connesso in rete. Quindi un router ne avrà uno, così come tutti i computer appartenenti alla sua subnet mask. Il protocollo TCP che si occupa della risoluzione ed assegnazione degli indirizzi si chiama ARP (Address Resolution Protocol), e qualsiasi richiesta destinata a produrre dei risultati, come prima cosa deve interrogare il sistema di destinazione tramite questo protocollo. Nulla di meglio quindi che "bussare" alla porta di casa del bersaglio per vedere se la casa è abitata. Interroghiamo un host e tutte le sue sottoreti con Arp-Scan per Linux, oppure N-map per Windows. Questa operazione che stiamo effettuando si chiama PingSweep.
Qualora i sistemi bersaglio si trovassero su segmenti di rete troppo lontani fra loro, sarebbe meglio interrogare il protocollo ICMP (Internet Control Message Protocol), il quale attraverso una serie di reply Ad-Hoc, ci restituirebbe lo stato dei computer attivi all'interno di una rete. Potrete trovare un elenco di messaggi ICMP sulla relativa Pagina Wikipedia . Lo strumento più diffuso per inviare richieste di tipo ICMP è SuperScan.
Come fare ad accorgerci se l'oggetto della scansione siamo noi?
E' piuttosto semplice! Ci sono diversi programmi che consentono di monitorare il traffico in entrata ed in uscita. Consiglio di provare Wireshark, un ottimo scanner che consente anche di filtrare il traffico. Se vediamo che un indirizzo IP di cui non sappiamo l'origine, effettua continue richieste di tipo ECHO ed ECHO_REPLY, allora possiamo iniziare ad avere qualche sospetto. Dobbiamo preoccuparci? Si, un Hacker sa come mettere K.O. una rete tramite attacchi Denial Of Service (DoS)!
Come possiamo difenderci?
Microsoft mette a disposizione delle guide per bloccare determinati tipi di traffico, ma fortunatamente per noi, la maggior parte dei firewall lo fa in automatico.
Abbiamo parlato di richieste al protocollo ICMP, ma cosa accade se un webserver blocca le citate richieste?
A questo punto non ci resta che interrogare le porte TCP/UDP. E un Hacker sa che dovrà usare un proxy per questa scansione super-invasiva!
Sappiamo bene che tutti i servizi online per comunicare hanno bisogno di una via di ingresso e di una d'uscita. Per esempio le richieste fatte da un browser ad un webserver e vice-versa, solitamente si svolgono sulla porta :8080 TCP, al fine di consentire il traffico HTTP. Per la scansione delle porte ci sono ormai innumerevoli programmi, alcuni li abbiamo già citati (Nmap e SuperScan), altri invece sono un po' più macchinosi da utilizzare e potrebbero richiedere un controllo da riga di comando, come ad esempio ScanLine. Per Linux c'è il buon vecchio Netcat ;-)
Come rilevare se qualcuno sta effettuando la scansione di porte sul nostro sistema?
Anche qui abbiamo la possibilità di servirci di utility che troviamo gratuitamente in giro per la rete. Consiglio di provare Snort, disponibile per Windows e Linux.
A questo punto non ci resta che capire con quale sistema operativo abbiamo a che fare!
La vera grossa differenza a livello di protezione fra Linux e Windows, è che su Linux possiamo decidere esattamente quali processi attivare, e di conseguenza se determinate porte devono rimanere aperte o chiuse. In Windows, alcuni servizi nativi del sistema devono tenere alcune porte sempre attive per default, come la 139 e la 445. Sapendo questa informazione tramite un port-scanner, possiamo determinare con che tipo di sistema operativo abbiamo a che fare.
Se siamo stati bravi, abbiamo fino ad ora ottenuto informazioni preziose: quali computer sono connessi in rete, i loro indirizzi IP, i servizi in ascolto su determinate porte e probabilmente abbiamo già capito che tipo di sistema operativo sta usando il bersaglio.
La scansione ed il footprinting sono la base delle operazioni fatte da un Hacker per scoprire di più su di noi o la nostra azienda, ma se conosciute bene, le suddette tecniche possono servirci per stare in guardia e pronti al contrattacco
Alla prossima!
La Scansione.
Dopo aver parlato dei modi che ha un hacker per profilare il suo bersaglio nel capitolo Footprinting, ci occupiamo adesso di scoprire quali porte di accesso potremmo sfruttare per bucare il suo sistema.
Con l'IP sappiamo l'indirizzo fisico del bersaglio, ma non sappiamo ancora quali siano le vulnerabilità del suo sistema.In altre parole dobbiamo capire se ha lasciato qualche porta aperta o la chiave sotto lo zerbino. :-)
Partiamo da una piccola premessa. Ogni dispositivo hardware è dotato di un indirizzo che lo identifica fisicamente, detto anche indirizzo MAC. I protocolli TCP/IP versione 4 si occupano tra le altre cose di assegnare un indirizzo logico univoco per ogni dispositivo connesso in rete. Quindi un router ne avrà uno, così come tutti i computer appartenenti alla sua subnet mask. Il protocollo TCP che si occupa della risoluzione ed assegnazione degli indirizzi si chiama ARP (Address Resolution Protocol), e qualsiasi richiesta destinata a produrre dei risultati, come prima cosa deve interrogare il sistema di destinazione tramite questo protocollo. Nulla di meglio quindi che "bussare" alla porta di casa del bersaglio per vedere se la casa è abitata. Interroghiamo un host e tutte le sue sottoreti con Arp-Scan per Linux, oppure N-map per Windows. Questa operazione che stiamo effettuando si chiama PingSweep.
Qualora i sistemi bersaglio si trovassero su segmenti di rete troppo lontani fra loro, sarebbe meglio interrogare il protocollo ICMP (Internet Control Message Protocol), il quale attraverso una serie di reply Ad-Hoc, ci restituirebbe lo stato dei computer attivi all'interno di una rete. Potrete trovare un elenco di messaggi ICMP sulla relativa Pagina Wikipedia . Lo strumento più diffuso per inviare richieste di tipo ICMP è SuperScan.
Come fare ad accorgerci se l'oggetto della scansione siamo noi?
E' piuttosto semplice! Ci sono diversi programmi che consentono di monitorare il traffico in entrata ed in uscita. Consiglio di provare Wireshark, un ottimo scanner che consente anche di filtrare il traffico. Se vediamo che un indirizzo IP di cui non sappiamo l'origine, effettua continue richieste di tipo ECHO ed ECHO_REPLY, allora possiamo iniziare ad avere qualche sospetto. Dobbiamo preoccuparci? Si, un Hacker sa come mettere K.O. una rete tramite attacchi Denial Of Service (DoS)!
Come possiamo difenderci?
Microsoft mette a disposizione delle guide per bloccare determinati tipi di traffico, ma fortunatamente per noi, la maggior parte dei firewall lo fa in automatico.
Abbiamo parlato di richieste al protocollo ICMP, ma cosa accade se un webserver blocca le citate richieste?
A questo punto non ci resta che interrogare le porte TCP/UDP. E un Hacker sa che dovrà usare un proxy per questa scansione super-invasiva!
Sappiamo bene che tutti i servizi online per comunicare hanno bisogno di una via di ingresso e di una d'uscita. Per esempio le richieste fatte da un browser ad un webserver e vice-versa, solitamente si svolgono sulla porta :8080 TCP, al fine di consentire il traffico HTTP. Per la scansione delle porte ci sono ormai innumerevoli programmi, alcuni li abbiamo già citati (Nmap e SuperScan), altri invece sono un po' più macchinosi da utilizzare e potrebbero richiedere un controllo da riga di comando, come ad esempio ScanLine. Per Linux c'è il buon vecchio Netcat ;-)
Come rilevare se qualcuno sta effettuando la scansione di porte sul nostro sistema?
Anche qui abbiamo la possibilità di servirci di utility che troviamo gratuitamente in giro per la rete. Consiglio di provare Snort, disponibile per Windows e Linux.
A questo punto non ci resta che capire con quale sistema operativo abbiamo a che fare!
La vera grossa differenza a livello di protezione fra Linux e Windows, è che su Linux possiamo decidere esattamente quali processi attivare, e di conseguenza se determinate porte devono rimanere aperte o chiuse. In Windows, alcuni servizi nativi del sistema devono tenere alcune porte sempre attive per default, come la 139 e la 445. Sapendo questa informazione tramite un port-scanner, possiamo determinare con che tipo di sistema operativo abbiamo a che fare.
Se siamo stati bravi, abbiamo fino ad ora ottenuto informazioni preziose: quali computer sono connessi in rete, i loro indirizzi IP, i servizi in ascolto su determinate porte e probabilmente abbiamo già capito che tipo di sistema operativo sta usando il bersaglio.
La scansione ed il footprinting sono la base delle operazioni fatte da un Hacker per scoprire di più su di noi o la nostra azienda, ma se conosciute bene, le suddette tecniche possono servirci per stare in guardia e pronti al contrattacco
Alla prossima!
