News

Sicurezza informatica: che cos’è il footprinting?

Il footprinting è l’attività di monitoraggio delle informazioni disponibili su un server, in particolare in ambito web, allo scopo di mettere in evidenza eventuali debolezze del sistema e sfruttarle per effettuare operazioni di defacing, SQL o code injection e così via.

Questa fase è certamente tra le attività più complesse con cui hanno a che fare gli esperti di sicurezza informatica: da qui è possibile estrapolare informazioni spesso sfruttando semplici tool gratuiti, a volte addirittura Google, per capire al massimo con che tipo di entità si sta avendo a che fare e, soprattutto, cosa sia possibile fare per compromettere il funzionamento del portale web ufficiale come del blog di un quotidiano famoso.

Ecco un elenco parziale delle principali informazioni estrapolabili dagli hacker, fermo restando che si tratta di dati spesso pubblici e, si noti, non necessariamente indispensabili da far trapelare (un conto è il nome del dominio, ovviamente, decisamente un altro è la presenza di software per le intrusioni informatiche).

  1. nome di dominio;
  2. sottodomini;
  3. blocchi di rete;
  4. indirizzi IP;
  5. servizi TCP/UDP attivi;
  6. architettura del server;
  7. sistemi di protezione;
  8. protocolli di rete sfruttabili (email, WEB e così via);
  9. eventuali VPN;
  10. meccanismi di controllo degli accessi.

Vedremo quindi alcuni tra i principali meccanismi da conoscere allo scopo di essere più consapevoli e tutelare la sicurezza del proprio sito.

 

Pagine web aziendali e sottodomini associati a servizi

Partendo dall’indirizzo web pubblico di un’azienda (ad esempio brand.com) spesso esistono delle convenzioni ben note che favoriscono l’identificazione dei vari servizi accessibili mediante il sito. Ad esempio molti associano la webmail ad un indirizzo come brand.com/mail oppure mail.brand.com, e questo potrebbe permettere, in certi casi, di tentare degli accessi brute-force o basati su dizionario allo scopo di violare le caselle di posta dei dipendenti. Stesso discorso vale per VPN, CDN, client di vario genere e servizi cloud (es. vpn.brand.com, cdn.brand.com, outlook.brand.com, …), a rischio principalmente DoS, ed il pericolo si accentua qualora servizi riservati a pochi “eletti” siano esposti pubblicamente nella rete internet. Conoscere queste informazioni, cosa fattibile anche con Google con l’apposito operatore, di fatto, fornisce un buon punto di partenza per le attività di footprinting illecito.

L’eventualità di indovinare o scovare mediante dizionario le password di accesso al backend del sito, di fatto, può essere arginata di molto ricorrendo a password robuste: difficili da indovinare, con parole non banali (e possibilmente inventate), contententi lettere, numeri ed almeno un segno di punteggiatura.

 

Consultazione dello storico del sito ed utilizzo di Google per reperire informazioni

Se il vostro sito è online da molto tempo, alcune informazioni riservate potrebbero essere state diffuse su archive.org, che indicizza a campione pagine web nel tempo: accidentalmente, quindi, potrebbero essere online informazioni preziose che facciano capire di più sul livello di sicurezza del server. Tempo fa è stato segnalato, ad esempio, che con Google fosse possibile consultare tutti i documenti PDF su di un sito militare semplicemente con l’operatore site (fonte): ragionando in maniera estensiva, gli attaccanti sono soliti sfruttare gli operatori di ricerca del motore per formare appositi pattern (a volte chiamati footprint, oppure globalmente “hacking database“) che permettono di:

  1. scovare foothold per leggere log di errori e dedurne, in certi casi, interi path di sistema (i log di errore non dovrebbero mai essere pubblici per questo motivo, ovvero in Apache devono stare fuori dalla cartella WWW o public_html);
  2. cercare file indicizzati che contengano username di sistema in chiaro;
  3. aprire sotto-directory del sito indicizzate involontariamente o leggibili pubblicamente (ad esempio i plugin di WordPress);
  4. comprendere la natura del server, la tecnologia installata su di esso e così via (se supporta PHP, se possiede componenti fallate, o se esista un file con l’istruzione php_info() che si possa aprire senza autenticazione);
  5. scoprire server web con errori di sistema, non protetti, con componenti buggate e molto altri.

Ovviamente questo genere di ricerche possono essere utilizzate, in logica invertita, per rendersi conto da soli se il proprio sito sia potenzialmente a rischio.

Tags
Mostra altro

Ti potrebbe interessare anche

Lascia un commento

Back to top button