Il port scanning è un’attività diagnostica ben consolidata nel mondo dell’informatica.
Le aziende usano questo strumento per rilevare eventuali punti deboli in una rete, ad esempio su un server.
Dato che questo metodo consente di rilevare la presenza di possibili vulnerabilità, anche gli hacker sono interessati alle metodologie di port scanning e vi ricorrono di frequente per esaminare le reti delle vittime.
Nel tempo, i cyber criminali hanno sviluppato varie tecniche di applicazione, atte principalmente ad eludere i sistemi di sicurezza o ad evitare di apparire sul log di sistema.
L’analisi dello stato di sicurezza della rete (vulnerability identification) è la prima fase, cui segue quella dello sfruttamento delle vulnerabilità trovate. Bisogna, dunque, spegnere sul nascere queste iniziative con tecniche di prevenzione.
Di seguito ne vedremo alcune, in risposta ad alcune variazioni sull’applicazione dello scan da parte di un attaccante
Sommario degli argomenti
Che cosa si intende per “port”
Il termine inglese potrebbe essere tradotto in due modi, porta o porto, ed entrambi sarebbero correttamente associabili a questa pratica.
Le porte, infatti, sono il luogo virtuale di un sistema dove avvengono gli scambi di informazioni con l’esterno, sia in entrata che in uscita. Gli scambi avvengono generalmente nell’ambito di un network di dispositivi.
Le porte dei computer sono associate ad un codice numerico identificativo per semplificare le operazioni. Tale numero, insieme ad altri parametri, è una parte importante per la comunicazione su Internet in quanto è usato per compilare le varie richieste.
Le porte sono associate a numeri che vanno da 0 a 65.536 ma in realtà assumono un ordine di importanza. Alcune di queste sono destinate all’uso di Internet (anche se talvolta hanno particolari specializzazioni) e sono quelle identificate con i numeri da 0 a 1023. Il loro scopo è standardizzato dallo IANA (Internet Assigned Numbers Authority) e gestito da diversi protocolli.
il TCP (Transmission Control Protocol) che detta le norme per stabilire e mantenere le connessioni tra applicazioni.
Esempi di porte TCP sono:
– porta 22, usata generalmente per log-in sicuri tramite protocollo SSH.
– porta 80, nota perché usata per l’accesso al World Wide Web.
Il UDP (User Datagram Protocol) simile al precedente ma utilizzato per connessioni particolari (bassa latenza).
Tra le più note ci sono:
– porta 20, per trasferire dati con FTP.
– porta 53, corrispondente al sistema DNS per la traduzione dei domini in codici IP leggibili dalla macchina.
Infine, le porte numerate da 1024 a 49151 sono le cosiddette porte registrate, poiché sono usate
da alcune aziende tecnologiche per le loro applicazioni (ad esempio la 3306 TCP è per MYSQL Server).
Le restanti sono porte dinamiche e private, di uso generale per internet.
Port scanning lecito
Generalmente, prima di attuare il processo di port scanning si effettua un network scanning, atto ad individuare gli host attivi nel network ed estrapolare informazioni sull’organizzazione degli indirizzi IP.
L’attività di port scanning è poi utilizzata per ottenere informazioni sul funzionamento delle porte di un sistema (host).
Questa tecnica consiste nel mandare dei pacchetti di test verso determinate porte ed attendere la risposta. In base a questa è possibile ricavare delle informazioni sullo stato di utilizzo e, eventualmente, sulla presenza di vulnerabilità sfruttabili. Nel dettaglio, si ottengono informazioni circa:
l’attuale funzionamento delle porte (se c’è traffico di dati)
la necessità di autorizzazioni specifiche ai fini dell’utilizzo.
Chi possiede il servizio in esame.
Il fine di queste procedure è quello di analizzare i vari livelli di sicurezza ed accertarsi che non vi siano debolezze che potrebbero compromettere il sistema.
Dalla definizione generale è possibile evincere che questa tecnica possa tornare utile sia alle aziende proprietarie dei sistemi in esame, sia agli hacker che intendono portare avanti un attacco ai loro danni.
In base alla risposta fornita nell’ambito di un port scanning, le porte si possono categorizzare in tre gruppi:
Porte aperte
la porta sollecitata restituisce un pacchetto di risposta, rivelando che il traffico in entrata è accettato e che qualche servizio è in funzione. I responsabili del network sono dunque chiamati ad innalzare delle difese per prevenire che qualche attaccante possa fare breccia nel sistema. Tipicamente vengono implementati dei firewall, atti ad impedire il traffico sospetto senza intaccare l’esperienza degli utenti che legittimamente fanno uso del servizio. Di contro, una porta aperta rappresenta per un attaccante il primo passo verso una possibile breccia nel sistema.
Porte chiuse
la porta è pronta a ricevere delle richieste ma non vi sono servizi collegati. Ciò non implica che la porta sia sicura: in un dato momento potrebbe entrare in funzione un servizio. È comunque necessario monitorare tale porta e proteggerla con sistemi di difesa come i firewall, in quanto è sempre possibile evincere che un host è su un indirizzo IP.
Porte filtrate
la richiesta è disattesa, non si riceve una risposta. La porta non è in attesa di richieste, indicando che un sistema di difesa è a guardia del servizio. Un firewall ha probabilmente bloccato (filtrato) la richiesta, evitando che degli attaccanti possano reperire importanti informazioni sullo stato del servizio.
La tecnica del port scanning è quindi utile per identificare eventuali vulnerabilità;
ecco perché ha grande rilevanza sia per le aziende che per gli hacker.
I primi hanno uno strumento che consente di perfezionare le proprie difese, gli altri lo usano come mezzo per scovare facili punti di accesso ad un sistema.
Port scanning come attacco: fasi e conseguenze
Prima di analizzare le porte, l’attaccante deve prima condurre un altro tipo di indagine.
È utile ai suoi scopi sapere quali host sono attivi e quali sono gli indirizzi corrispondenti. Reperisce queste informazioni con un altro strumento, il network scanning, anch’esso dalla duale utilità pratica: offensiva o difensiva.
L’attaccante è interessato a indirizzare il proprio sforzo verso obiettivi precisi, per i quali ha senso effettuare verifiche successive nella speranza di trovare vulnerabilità: questo è a grandi linee l’uso che gli aggressori fanno del network scanning.
Una volta stilata una lista di possibili obiettivi nel network, si passa ad analizzare le porte con le varie tecniche di port scanning. L’analisi delle porte consente inoltre di visualizzare eventuali problemi di sicurezza a più livelli e valutare l’efficacia dei sistemi di difesa (come firewall).
Gli hacker devono anche pensare a modalità di approccio tali da rimanere sempre ‘nascosti’. Durante un attacco, i sistemi di difesa o chi analizza il traffico potrebbero accorgersi che qualcosa non va, mandando a monte l’operazione.
Parte dello sforzo offensivo è speso nel confondere il target e rimanere nascosti mentre si ricavano informazioni sul sistema vittima.
L’attacco port scan, come già accennato, consente di valutare la presenza di porte aperte e il livello di sicurezza di una rete. Qualora venisse riscontrato un punto debole nella rete, questo potrebbe essere sfruttato dai cybercriminali per ottenere ulteriori informazioni utili o per tentare di penetrare nei sistemi delle loro vittime.
Port scanning come attacco: la prevenzione
Per prevenire dei port scan non autorizzati, l’imperativo è di implementare un firewall che controlli costantemente il traffico, bloccando richieste sospette o non autorizzate e che notifichi il personale responsabile quando c’è un tentativo di port scan.
Si deve agire d’anticipo, privando gli attaccanti dello strumento usato per individuare le vulnerabilità, prima ancora di poterle sfruttare.
Occorre rimanere al passo con le innovazioni tecnologiche. I firewall e altri sistemi di difesa devono rispondere al costante sviluppo delle tecniche offensive: devono dunque essere moderni e di comprovata efficacia.
Un buon firewall è quello che previene efficacemente accessi non autorizzati. Inoltre, la gestione del funzionamento delle porte deve essere tale da non intaccare l’esperienza di utilizzo dei servizi. Quando una porta è aperta, controlla comunque il traffico che vi fluisce sia in entrata che in uscita.
Ancora, abbiamo già notato che l’attività di port scanning ha una certa dualità.
Usarla come strumento di prevenzione consente di individuare possibili vulnerabilità prima che lo facciano dei criminali. Le porte aperte devono essere lo stretto necessario e va comunque controllata la loro attività. Un port scan evidenzia i punti deboli di una rete, risultando molto utile in questo senso.
Infine, la prevenzione migliore è quella specifica per la rete in esame. Gli amministratori possono, ad esempio, implementare delle restrizioni sul traffico in termini di indirizzi IP o domini; oppure è possibile implementare delle “esche per hacker”, cioè sistemi che imbrogliano l’hacker facendolo interagire con una finta porta, rivelando i tentativi di connessione illeciti.
Conclusione
Per riassumere
il port scanning è un’attività ben consolidata nel mondo informatico.
Consiste nell’interagire con le porte di un dispositivo e analizzare l’eventuale risposta. Così facendo si apprendono importanti informazioni sullo stato della sicurezza di un sistema e si identificano eventuali punti deboli sfruttabili.
Perciò questo metodo è usato tanto come strumento di prevenzione quanto come attività di preparazione per un attacco diretto.
Gli hacker hanno a disposizione varie tecniche di applicazione ben rodate nel tempo e sempre perfezionabili, sta alle oneste organizzazioni difendersi in modo opportuno: sia attraverso robusti firewall che implementando soluzioni specifiche in accordo con esperti IT.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.