Sicurezza  »  Articoli  »  Tecniche di sicurezza 

I server web sono da sempre uno dei principali veicoli di intrusione. È sufficiente rilevare la versione del server, trovare un exploit adatto ed eseguirlo, magari con il solo aiuto del browser che utilizziamo normalmente per navigare. Non si tratta di una semplificazione eccessiva: se non prestiamo attenzione alla sicurezza del nostro server web, bastano davvero questi pochi passaggi per consegnarlo nelle mani di un hacker!

La diffusione dei servizi web integrati nei sistemi operativi più comuni, come Windows 2000/XP e Linux, è di grande utilità per gli sviluppatori che testano i propri siti in locale, ma al tempo stesso è una manna per i malintenzionati.

Se avete subìto un attacco e volete capire come rimediare, o se volete semplicemente saperne di più su come si conduce una indagine su un server web, questo articolo fa per voi. Vedremo come si rileva un attacco in corso, quali indizi cercare e quali contromisure adottare per mettere in sicurezza il sistema colpito.

Tipologie di attacco

Non tutti i tentativi di intrusione sono uguali. I motivi che spingono l'aggressore a penetrare nel nostro server web possono trovare posto in varie categorie:

• Defacement: si tratta della tipologia più diffusa e protagonista delle cronache, consiste nel modificare la home page di un sito o sostituirla con un messaggio di protesta, solitamente l'azione è firmata dal gruppo che l'ha effettuata.
• Attacco alla rete: è l'attacco classico, dove l'hacker utilizza il server compromesso per arrivare alla rete interna e intrufolarsi in più sistemi possibili.
• Informazioni: esiste una tipologia di attacco più rara ma molto pericolosa, perché mira a ottenere informazioni riservate che risiedono sul server (ad esempio i database utilizzati dalle applicazioni web)
• Base appoggio: nella maggior parte dei casi gli hacker colpiscono sistemi aziendali o istituzionali, ma anche i computer privati possono essere sfruttati come base di appoggio per lanciare attacchi DoS, per mascherare l'indirizzo IP dell'hacker o come archivio per diffondere programmi pirata.

In base a queste considerazioni dovremo adottare la risposta più efficace al tipo di attacco rilevato. Per farlo, è indispensabile raccogliere tutti gli indizi che ci possono aiutare a farci un quadro della situazione: le tracce lasciate dall'intruso, i file di log delle applicazioni coinvolte e dei dispositivi di sicurezza, se presenti.

Altri articoli

Altre guide

Altre newsletter