Cracker (informatica)

Da Wikipedia, l'enciclopedia libera.

Il termine cracker (o Black Hat Hacker), in ambito informatico, indica una persona che si ingegna per eludere blocchi imposti da qualsiasi sistema informatico al fine di trarne profitto o creare danni. È stato introdotto nel 1985 per tentare di distinguerlo dal White Hat Hacker. [1]

Cenni storicimodifica | modifica wikitesto

Caratteristichemodifica | modifica wikitesto

I crackers possono essere spinti da varie motivazioni, dal guadagno economico (tipicamente coinvolti in operazioni di spionaggio industriale o in frodi), all'approvazione all'interno di un gruppo di cracker (come tipicamente avviene agli script kiddie, che praticano le operazioni di cui sopra senza una piena consapevolezza né delle tecniche né delle conseguenze).

Il cracking può essere usato per diversi scopi secondari, una volta guadagnato l'accesso di root nel sistema desiderato o dopo aver rimosso le limitazioni di un qualsiasi programma.

Differenze tra cracker e white hat hackermodifica | modifica wikitesto

Il termine cracker viene spesso confuso con quello di white hat hacker, il cui significato è lievemente diverso. Alcune tecniche sono simili, ma il white hat hacker è colui che forza le protezioni di un sistema informatico per sfida o dietro pagamento di aziende al fine di trovarne le debolezze. Al contrario il cracker è colui che sfrutta le proprie capacità (o in certi casi quelle degli altri) al fine di distruggere (i cracker fanno spesso utilizzo del DoS), ingannare e arricchirsi.

L'uso del vocabolo cracker è alquanto limitato (così come l'espressione black hat), al contrario di hacker, che è considerato da molte persone un termine controverso. Un individuo identificato come hacker, non è altro che un esperto informatico con ottime capacità d'uso del pc. L'uso di queste capacità determina la sua classificazione come Cracker o come White Hat Hacker.

Tipi di attacco utilizzatimodifica | modifica wikitesto

Nonostante sia molto complesso definire in maniera certa il modus operandi del cracker, è possibile grosso modo definire due categorie di attacchi al sistema informatico: l'attacco esterno (remoto) e quello locale.

Attacco esternomodifica | modifica wikitesto

L'attacco esterno ha come finalità:

  • lo sfruttamento di una vulnerabilità di un servizio internet, causata da un bug di programmazione (spesso passibili di buffer overflow e simili).
  • l'utilizzo di programmi che vengono eseguiti da un server web (cgi-bin) che possono essere utilizzati in modo improprio, ovvero consentono l'esecuzione di comandi oppure soffrono di vulnerabilità analoghe a quelle dei bug dei servizi internet.
  • lo sfruttamento di determinate configurazioni insicure dei software web.

Portscanner e security scannermodifica | modifica wikitesto

Per effettuare l'attacco esterno il cracker si avvale di numerosi software, tra i quali degni di menzione sono i portscanner che effettuano dei port scanning al fine di individuare quali servizi internet sono attivi su una determinata macchina. I portscanner più evoluti sono in grado di determinare anche la versione dei vari software che gestiscono il servizio web. Più evoluti dei portscanner sono i security scanner, atti a individuare le vulnerabilità dei servizi internet.

Attacco localemodifica | modifica wikitesto

L'attacco locale viene portato a compimento da individui che hanno accesso fisico alla macchina oppure che hanno accesso al sistema via internet tramite delle console remote che permettono loro di eseguire un limitato numero di operazioni con privilegi altrettanto limitati.

Ottenimento di privilegi illimitatimodifica | modifica wikitesto

L'ottenimento dello status di root, ovvero utente dai privilegi illimitati, si ottiene mediante lo sfruttamento di vulnerabilità di overflow insite nel servizio internet, come descritto nell'attacco esterno, sfruttando difetti nel kernel (solitamente con un attacco locale), la sovrascrittura di file eseguibili o l'utilizzo dei programmi SETUID, che consentono l'esecuzione di determinate operazioni che necessitano di privilegi differenti (solitamente root).

Essere superutente (ovvero root) si rivela essenziale per i cracker che hanno intenzione di nascondere le tracce del proprio passaggio e operare sulla macchina compromessa. Alcune operazioni che solamente root può fare sono ad esempio lo sniffing dei dati in transito su un'interfaccia di rete (solitamente password) e l'utilizzo di software in grado di agire a livello di rete molto basso.

L'eliminazione delle traccemodifica | modifica wikitesto

L'eliminazione delle tracce del proprio passaggio o della propria presenza è essenziale perché il cracker si renda totalmente invisibile all'amministratore di sistema. Ciò viene ottenuto tramite:

  • l'eliminazione o la modifica dei file di log, che sono i registri che tengono traccia delle operazioni degli utenti
  • la modifica dei file eseguibili affinché le operazioni risultino totalmente invisibili
  • l'inserimento di codice direttamente all'interno del kernel (in Linux tramite dei LKM, moduli caricabili) che modifica e "dirotta" le chiamate di sistema (system call)

Queste operazioni vengono spesso automatizzate e riassunte tramite dei software chiamati rootkit.

Strumenti di difesamodifica | modifica wikitesto

Il firewallmodifica | modifica wikitesto

Il tool più diffuso per proteggere la propria rete o il proprio server è il firewall, che permette di precludere l'accesso a determinati servizi, oppure da un elenco di sistemi che non si ha intenzione di far accedere ai propri servizi internet multimediali.

IDSmodifica | modifica wikitesto

Altro software di grande efficacia e complessità è l'Intrusion detection system (IDS) che, attraverso una serie di regole prestabilite rileva tentativi di enumerazione, intrusione o di attacco e li notifica a un operatore.

Cracker famosimodifica | modifica wikitesto

Notemodifica | modifica wikitesto

  1. ^ cracker, su catb.org. URL consultato il 16 agosto 2016.

Voci correlatemodifica | modifica wikitesto

Collegamenti esternimodifica | modifica wikitesto