Che cos'è una mentalità e un metodo di approccio tipici? Che probabilità hanno di provare prima? A che punto un novizio si arrende contro un esperto? In che modo un attacco automatico differirebbe da quello manuale?
Che cos'è una mentalità e un metodo di approccio tipici? Che probabilità hanno di provare prima? A che punto un novizio si arrende contro un esperto? In che modo un attacco automatico differirebbe da quello manuale?
Dalla mia esperienza, la maggior parte degli aggressori sceglie i siti web casualmente. Hanno scaricato alcuni "strumenti per l'hacker", hanno inserito un intervallo IP e l'hanno avviato. Solitamente un tale toolkit sfrutta un bug specifico in un software (come Wordpress, Joomla ecc.). Se non si esegue questo tipo di software o non è più vulnerabile, procedere al sito successivo.
Tuttavia, se il tuo sito è l'obiettivo di qualche attacco mirato, l'attaccante esplorerà il tuo sistema. Può esaminare le porte aperte per vedere se c'è qualche software vulnerabile o cercherà di scoprire che tipo di software del sito web si esegue. Dopo averlo trovato, cercherà qualche exploit per il tuo sistema e lo userà. Di solito viene provato prima il più semplice.
Un novizio proverà alcuni dei suoi software standard mentre un esperto pianificherà il suo attacco. Cerca di raccogliere quante più informazioni possibili. Ogni singola informazione può aiutare a raggiungere il suo obiettivo.
Dalla maggior parte dei miei clienti (in genere aziende Fortune 100) posso dire che la maggior parte degli attaccanti che notano (escludiamo l'ampia gamma di scansioni e attacchi di script kiddie abbandonati al perimetro e DMZ) sono molto esperti, hanno vaste risorse e seguono praticamente la stessa metodologia dei cappelli bianchi.
Un esempio:
Ovviamente questo è solo un esempio di livello molto alto, ma dà un'idea.
Sia che si tratti di attacchi opportunistici a volte descritti come hacking di scriptkiddie o altro, in realtà non ha importanza, infatti ho trovato questo termine per me più un tentativo di diffamazione piuttosto che una descrizione appropriata dell'attaccante.
Gli aggressori, a prescindere dal loro "cappello" che sostengono di sostenere ... vedranno l'approccio facile prima di scavare più a fondo. Perché un utente malintenzionato dovrebbe preoccuparsi di approfondire le risposte sopra, se il server web ospita 100 siti Web che sono un misto di versioni Joomla, Wordpress e obsolete di osCommerce.
In quelli lungo sarebbe un tesoro di punti di ingresso per caricare il codice shell / file manager, e persino scalare la loro strada nel controllo completo del server web.
In effetti il metodo più popolare al giorno d'oggi è lo sfruttamento multilivello di massa in cui i server permanenti sono dedicati alla troll dei servizi di ricerca come Google, alla ricerca di siti vulnerabili, al caricamento di codice shell e al codice backdoor, quindi alla registrazione dei siti per ulteriore sfruttamento.
Questi "attacchi automatizzati" non differiscono tanto dalla "firma" degli attacchi individuali, a parte il fatto che il sito della vittima viene generalmente usato di più per diffondere i virus dei browser o per attaccare i proxy su altri siti vulnerabili, piuttosto che stereotipo del defacement degli hacker.
I novizi ... diventano esperti alla fine se continuano a conoscere la sicurezza del Web.
Molti singoli attaccanti iniziano con i metodi più semplici, ovvero con le vulnerabilità conosciute degli script Web, o con metodi di exploit server non protetti poiché questi sono spesso i modi più semplici e veloci per accedere a un server web e in genere la maggior parte degli hacker non deve andare molto oltre a ciò soprattutto nella maggior parte degli ambienti webserver condivisi.
Per questo motivo c'è una tendenza per coloro che sono stati sfruttati, dopo aver scoperto come i loro server sono stati sfruttati (cioè un loro errore per non aver aggiornato le loro cose), per poi puntare il bastone al cosiddetto 'script-kiddie' quando in realtà questo tipo di attacco è solo il più semplice, quindi logicamente il primo e più utilizzato metodo.
Dove non sono facilmente disponibili metodi di immissione, tanto più tenace inizierà gran parte di ciò che Rory Aslop descrive in precedenza, l'approccio "macina", che richiede più tempo ma spesso produce molto poco in termini di punti di ingresso.
Se alcuni, come ad esempio i tipi anonimi, non si rivolgono agli attacchi in stile martello DDoS per mettere fuori linea i server web o almeno ferirlo (gli attaccanti guidati politicamente).
Ci sono anche alcune razze di aggressori che non credono nello sfruttamento dei server oltre all'attacco Denial of Service, e dall'altra parte di quella medaglia, ci sono attaccanti che credono che l'attacco denial of service sia per il basso QI ...
Alla fine non si tratta di un problema semplice a cui si può rispondere facilmente ed è un mondo a volte pieno di bigottismo e fondamentalismo, quelli per cui ci si deve veramente interessare sono quelli tenaci, che in origine potrebbero non avere le capacità tecniche per tira fuori qualcosa, ma la tenacia, come affermato, spesso spinge al rialzo.
Leggi altre domande sui tag webserver web-application attacks attack-prevention