Qualsiasi computer connesso ad una rete informatica è potenzialmente vulnerabile ad un attacco.
Un «attacco» è lo sfruttamento di una falla di un sistema informatico (sistema operativo, software) per scopi non conosciuti dall'utilizzatore del sistema stesso e generalmente pregiudizievoli.
Su internet gli attacchi si verificano in continuazione. Questi attacchi sono per la maggior parte lanciati automaticamente a partire da terminali infettati (da virus, cavalli di Troia, worm, ecc.), all'insaputa dei loro proprietari. Più raramente si tratta di azioni da parte di pirati informatici.
Per contrastare questi attacchi è indispensabile conoscere i principali tipi di attacchi per poter attuare dei dispositivi di prevenzione. I motivi degli attacchi possono essere diversi tipo:
Ottenere un accesso al sistema;
Rubare delle informazioni, come ad esempio dei segreti industriali o delle proprietà intellettuali;
Procurarsi delle informazioni personali su un utente;
Recuperare dei dati bancari;
Informarsi sull'organizzazione (società dell'utente, ecc.);
Disturbare il buon funzionamento di un servizio;
Utilizzare il sistema dell'utente come «rimbalzo» per un attacco;
Utilizzare le risorse del sistema dell'utente, soprattutto quando la rete sulla quale questo si trova possiede una larghezza di banda elevata.
I sistemi informatici sfruttano componenti diverse, che vanno dall'elettricità per alimentare i terminali ai software lanciati attraverso il sistema operativo e tramite la rete.
Gli attacchi possono avvenire ad ogni anello di questa catena, non appena si verifichi una debolezza sfruttabile. Lo schema qui sotto ricorda in modo sommario i diversi livelli per i quali esiste un rischio in materia di sicurezza:
È inoltre possibile classificare i rischi nel modo seguente:
Accesso fisico, si tratta di un caso dove chi attacca ha accesso ai locali, eventualmente anche agli stessi terminali:
Interruzione di corrente;
Spegnimento manuale del computer;
Vandalismo;
Apertura del case del computer e furto del disco rigido;
Ascolto del traffico sulla rete.
Intercettazione delle comunicazioni:
Furto di sessione (session hijacking);
Usurpazione di identità;
Sottrazione o alterazione di messaggi.
Impedimento di funzionamento, si tratta di attacchi diretti a disturbare il buon funzionamento di un servizio. Abitualmente si distinguono i seguenti tipi di impedimento di servizio:
Sfruttamento di debolezze dei protocolli TCP/IP;
Sfruttamento della vulnerabilità dei server software.
Intrusioni:
Scansione delle porte;
Elevazione di privilegi: questo tipo di attacco consiste nello sfruttare una vulnerabilità di un'applicazione inviando una richiesta specifica, non prevista dal suo programmatore, che abbia come effetto un comportamento anormale che può condurre, a volte, ad un accesso al sistema con i permessi dell'applicazione. Gli attacchi da buffer overflow utilizzano questo principio;
Nocivi (virus, worms e cavalli di Troia).
Ingegneria sociale, nella maggior parte dei casi l'anello debole è l'utente stesso! In effetti è spesso lui che, per scarsa conoscenza o per inganno, apre una breccia nel sistema, dando delle informazioni (ad esempio la password) al pirata informatico o aprendo una allegato. Inoltre, nessun dispositivo di protezione può proteggere l'utente contro gli imbrogli, solo il buonsenso, la ragione e un po' di informazione sulle diverse pratiche possono evitargli di cadere nella trappola;
backdoor, si tratta di una porta nascosta dissimulata nel software, che permette un ulteriore accesso al suo sviluppatore.
D'altro canto, gli errori di programmazione contenuti nei programmi sono solitamente corretti piuttosto velocemente dai loro sviluppatori non appena la loro vulnerabilità viene resa pubblica. Sta allora agli amministratori (o agli utenti privati interessati) di tenersi informati rispetto agli aggiornamenti dei programmi che utilizzano per limitare i rischi di attacchi.
Dall'altro lato esistono numerosi dispositivi (firewall, sistemi di rilevazione d'intrusione, antivirus) che permettono di aggiungere un livello di sicurezza supplementare.
La messa in sicurezza di un sistema informatico è generalmente detta «asimmetrica», dato che, se al pirata basta trovare una sola vulnerabilità per compromettere il sistema, sta all'amministratore correggere tutte le falle.
Nel momento di un attacco, il pirata corre sempre il rischio di farsi individuare, ed è la ragione per cui i pirati privilegiano abitualmente gli attacchi di rimbalzo (rispetto agli attacchi diretti), che consistono nell'attaccare un terminale attraverso un altro, per nascondere gli indizi che permettono di risalire a lui (come il suo indirizzo IP) e allo scopo di utilizzare le risorse del terminale che serve da ponte.
Da qui l'interesse di proteggere la propria rete o il proprio PC, dato che è possibile rendersi «complici» di un attacco e, in caso di denuncia da parte della vittima, la prima persona interrogata sarà il proprietario del terminale utilizzato come ponte.
Con lo sviluppo delle reti wireless, questo tipo di scenario rischia di diventare sempre più ricorrente dato che, quando la rete wireless non è ben protetta, un pirata posto nelle vicinanze può utilizzarla per lanciare degli attacchi.