Scopo del presente articolo è quello di fornire le istruzioni di base su come accorgersi di un eventuale "ATTACCO INFORMATICO" in corso.
La maggior parte delle vulnerabilità dei computer possono essere sfruttate in svariati modi. Gli hacker potrebbero ad esempio utilizzare un'errata configurazione di uno dei componenti del sistema, una backdoor lasciata aperta da un attacco precedente o sfruttare uno o più exploit contemporaneamente. Per tale motivo accorgersi di essere oggetto di un attacco non è un compito facile, specialmente per l'utente inesperto. Questa piccola guida fornisce le nozioni di base allo scopo. Naturalmente, in considerazione della complessità della materia, non è possibile avere la presunzione di voler essere esaustivi di tutti i casi possibili.
SISTEMI WINDOWS
Traffico non richiesto in uscita verso internet. Se si utilizza un collegamento Dial-up o ADSL e si nota un insolito elevato volume di traffico in uscita (specialmente quando il computer è in stand-by o non necessariamente in fase di upload), allora è possibile che il computer sia stato compromesso. Potrebbe essere utilizzato per spedire spam o il traffico generato da un worm che cerca di replicarsi spedendo copie di sé stesso. Per i collegamenti via cavo questo è meno rilevante, è molto comune avere la stessa quantità di traffico in entrata ed in uscita anche se non si sta facendo nient'altro che navigare o scaricare dati da internet. In ogni caso è consigliabile accertarsi che il firewall di Windows sia attivo, che risulta molto utile per tenere sotto controllo il traffico in uscita e le applicazioni che tenteranno di contattare l'indirizzo IP ed utilizzare delle porte TCP/IP non usuali.
Un incremento dell'attività dei dischi o la presenza di file sospetti nelle directory root di un drive qualunque. Dopo aver attaccato un sistema, molti hacker eseguono un controllo per cercare ogni documento interessante o file contenente password o log in per conti correnti bancari o sistemi di pagamento telematici come PayPal. Similmente alcuni worm cercano nel disco file contenenti indirizzi di posta elettronica da utilizzare per propagarsi. Una maggiore attività da parte dei dischi anche quando il sistema è in stand-by congiuntamente a file con nomi sospetti in cartelle comuni, potrebbe essere l'indicazione di un attacco o di una infezione da parte di un codice malevolo.
Traffico elevato in ingresso proveniente da un singolo indirizzo bloccato dal personal firewall. Dopo aver localizzato un obiettivo (ad esempio un IP appartenente ad una compagnia o ad un gruppo di home user con collegamento via cavo) gli hacker lanciano normalmente dei programmi per testare la vulnerabilità e provano ad utilizzare vari exploit per entrare nel sistema. Se si sta utilizzando un firewall personale (uno strumento fondamentale nella protezione contro gli attacchi da parte di hacker) e si nota un insolito numero elevato di pacchetti provenienti dallo stesso indirizzo, questo è un chiaro indizio che la macchina è sotto attacco. Il firewall si sta accorgendo di questi attacchi e forse il pericolo è scongiurato. Comunque, a seconda di quanti servizi si espongono ad internet, questi potrebbe fallire nel proteggere da un attacco diretto ad un servizio reso disponibile a tutti. In tal caso la soluzione è bloccare temporaneamente l'IP fino a che i tentativi di connessione cessano e creare una regola sull'indirizzo "incriminato".
L'antivirus installato improvvisamente inizia a riportare che sono stati rilevati dei Trojan o delle Backdoor, anche se non si è fatto niente fuori dal comune. Sebbene gli attacchi hacker possano essere complessi ed innovativi, molti si basano su trojan noti o backdoor, per avere pieno accesso ad un sistema compromesso. Se l'antivirus installato si dovesse accorgere e riportare la presenza di un malware, questa potrebbe essere una chiara indicazione che il sistema può essere accessibile dall'esterno.
SISTEMI UNIX
File con nomi sospetti nella cartella /tmp. Molti exploit nel mondo Unix si basano sulla creazione di file temporanei nella cartella /tmp standard che non sono normalmente cancellati dopo l'attacco del sistema. Lo stesso dicasi per alcuni worm. Questi si ricopiano nella cartella /tmp e la utilizzano come home.
Binari di sistema modificati come "log-in", "Telnet", "ftp", "finger" o daemon più complessi, "sshd", "ftpd" e simili. Dopo essere entrati in un sistema, l'hacker di solito tenta di assicurarsi un sicuro accesso creando una backdoor in uno dei daemon con accesso diretto da internet, o dalla modifica di utility standard di sistema che sono utilizzate per connettersi ad altri sistemi. I binari modificati sono solitamente parte di un rootkit e generalmente sono nascosti ad un controllo superficiale. In ogni modo, è buona norma mantenere un database di tutto il software installato e verificarne l'integrità in modalità off-line periodicamente.
Presenza di nuovi utenti del sistema. Alcune volte gli attacchi hacker potrebbero aggiungere un nuovo utente in modo da loggarsi in remoto in un momento successivo. Bisogna cercare eventuali username sospetti nel file delle password e controllare ogni nuovo account che si dovesse aggiungere, specialmente in un sistema multi utente.
Presenza di Backdoor. Aprire una backdoor in un sistema Unix a volte consiste nell'aggiungere due righe di script, ciò si ottiene modificando file come /etc/services e come /etc/ined.conf. Bisogna controllare attentamente questi due file per ogni eventuale modifica che potrebbe indicarne una backdoor collegata ad una porta inutilizzata sospetta.