Attacchi informatici: minacce, malware, social engineering

di
📋 Obiettivi di apprendimento
Classificare i principali tipi di attacco informatico distinguendo social engineering, APT e attacchi ai protocolli TCP/IP
Descrivere la struttura di un malware (vettore e payload) e le cinque tipologie principali con le loro caratteristiche distintive
Spiegare il funzionamento tecnico degli attacchi SYN Flood, IP Spoofing, MITM, Teardrop, Botnet e DDoS
Riconoscere i profili degli attaccanti (White Hat, Black Hat, Gray Hat, Script Kiddie, Hacktivist) e le motivazioni di ciascuno
📄
Slides
slide complete con diagrammi
🔬
Lab
Wireshark – attacchi TCP/IP
GitHub →

Attacchi informatici e minacce

Un attacco informatico è un’azione intenzionale finalizzata a violare la sicurezza di un sistema, sfruttando una o più vulnerabilità. È importante distinguerlo dalla minaccia, che è la causa potenziale, e dall’incidente, che è il danno effettivo prodotto dall’attacco.

Gli attacchi si classificano in tre grandi famiglie in base al vettore e alla tecnica utilizzata:

🎭
Social Engineering

Sfruttano la psicologia umana, non le vulnerabilità tecniche

🎯
APT

Attacchi avanzati, mirati e persistenti nel tempo

🌐
Attacchi ai protocolli

Sfruttano vulnerabilità intrinseche dello stack TCP/IP

Social Engineering

Il social engineering è l’insieme di tecniche che sfruttano la psicologia umana per manipolare le persone e indurle a compiere azioni dannose o a rivelare informazioni riservate. L’attaccante non attacca il sistema direttamente, ma la persona che lo usa.

⚠️ Il fattore umano è l’anello più debole

Secondo il Verizon Data Breach Investigations Report, oltre il 68% delle violazioni di dati coinvolge un elemento umano. Nessuna tecnologia può compensare completamente un utente non formato o ingannato.

📧 Phishing

Email fraudolente che imitano mittenti affidabili (banca, PA, colleghi) per rubare credenziali o installare malware. Variante mirata: spear phishing.

📱 Smishing

Phishing tramite SMS. Messaggi che simulano corrieri, banche o servizi pubblici con link a siti falsi per raccogliere dati personali.

📞 Vishing

Voice phishing: chiamate telefoniche in cui l’attaccante si finge operatore di supporto tecnico, banca o autorità per estorcere informazioni.

APT — Advanced Persistent Threat

Gli APT (Advanced Persistent Threat) sono attacchi sofisticati, mirati e protratti nel tempo, condotti da attori altamente organizzati — spesso gruppi criminali sponsorizzati da stati o organizzazioni.

Caratteristiche distintive degli APT
Advanced

Uso di exploit zero-day, malware personalizzato, tecniche di evasione avanzate

Persistent

Accesso mantenuto per mesi o anni, spesso senza essere rilevati

Threat

Obiettivi reali: spionaggio industriale, furto di segreti governativi, sabotaggio

Targeted

Bersaglio specifico scelto con cura: aziende strategiche, infrastrutture critiche

📌 Esempio storico — Stuxnet (2010)

Stuxnet è considerato il primo cyber-weapon documentato. Un APT attribuito a USA e Israele che ha sabotato fisicamente le centrifughe iraniane per l’arricchimento dell’uranio, danneggiando circa 1000 macchine. L’attacco è rimasto inosservato per quasi un anno. Emblema perfetto di come un APT possa avere impatti nel mondo fisico.

Malware — struttura e tipologie

Il termine malware (malicious software) indica qualsiasi software progettato intenzionalmente per arrecare danni o ottenere accessi non autorizzati a sistemi informatici. La struttura di un malware è sempre composta da due elementi:

🚀 Vettore

La modalità di diffusione del malware: come raggiunge il sistema bersaglio.

Email con allegato malevolo
Dispositivo USB infetto
Download da sito compromesso
Exploit di vulnerabilità di rete
💣 Payload

Il carico utile malevolo: l’azione dannosa che il malware esegue una volta attivato.

Cifratura dei file (ransomware)
Furto di credenziali
Apertura backdoor
Cancellazione dati

Le cinque tipologie principali di malware

🦠
Virus

Si allega a file eseguibili legittimi e si riproduce quando il file infetto viene eseguito. Richiede l’azione dell’utente per diffondersi (apertura file, esecuzione programma).

Esempio: virus che infetta file .exe e si diffonde tramite condivisione di file
🪱
Worm

Si diffonde autonomamente in rete senza bisogno di allegare a file o richiedere azione umana. Sfrutta vulnerabilità di protocolli o servizi di rete. Può causare saturazione della banda.

Esempio: WannaCry (2017) — si propagava via SMB su porta 445, cifrava i file
🐴
Trojan

Si maschera da software legittimo (gioco, utility, aggiornamento) ma nasconde funzionalità malevole. Non si autoreplica, ma apre backdoor o scarica altri malware.

Esempio: software crack che installa un keylogger in background
🔐
Ransomware

Cifra i dati della vittima rendendoli inaccessibili, poi chiede un riscatto (ransom) in criptovaluta per la chiave di decifratura. Viola Confidentiality e Availability simultaneamente.

Esempio: LockBit, REvil, WannaCry — costi medi per vittima corporate: 1–4 milioni di dollari
👁️
Spyware

Raccoglie informazioni sull’utente senza il suo consenso e le trasmette all’attaccante: credenziali, cronologia, screenshot, audio dal microfono. Operazione tipicamente silenziosa.

Esempio: Pegasus (spyware governativo) — intercettava smartphone senza interazione utente

Attacchi sui protocolli TCP/IP

Lo stack TCP/IP è stato progettato per la resilienza e la connettività, non per la sicurezza. Molte vulnerabilità intrinseche dei suoi protocolli vengono sfruttate in attacchi specifici. È fondamentale conoscerli per comprendere come si difendere.

SYN Flood

Principio CIA violato: Availability

Sfrutta il three-way handshake TCP. Il client invia massivamente pacchetti SYN con indirizzi IP sorgente falsificati. Il server risponde con SYN-ACK e alloca risorse in attesa dell’ACK finale, che non arriverà mai. La tabella delle connessioni half-open si satura, rendendo il server incapace di accettare nuove connessioni legittime.

Attaccante → Server: SYN (IP sorgente falso: 1.2.3.4)
Server → 1.2.3.4:  SYN-ACK  [attende ACK — alloca memoria]
ACK non arriva mai → connessione rimane "half-open"
Ripetuto migliaia di volte → server esaurito
Difesa: SYN cookies, rate limiting, firewall stateful

IP Spoofing

Principio CIA violato: Confidentiality + Integrity

L’attaccante falsifica il campo IP sorgente dei pacchetti, facendo credere al sistema destinatario che il traffico provenga da una fonte fidata. Usato come tecnica base in SYN flood, DDoS amplification e per bypassare ACL basate su IP.

Difesa: ingress filtering (BCP38), antispoofing nei router, IPSec

Man in the Middle (MITM)

Principio CIA violato: Confidentiality + Integrity

L’attaccante si inserisce nella comunicazione tra due parti, intercettando e potenzialmente modificando i messaggi senza che nessuna delle due si accorga della sua presenza. Tecniche comuni: ARP poisoning, DNS spoofing, SSL stripping.

Alice ←→ [Attaccante] ←→ Bob
Alice pensa di parlare con Bob
Bob pensa di parlare con Alice
L'attaccante legge (e modifica) tutto
Difesa: HTTPS/TLS, HSTS, certificate pinning, VPN

Teardrop

Principio CIA violato: Availability

Sfrutta il meccanismo di frammentazione IP. L’attaccante invia pacchetti IP con offset di frammentazione sovrapposti o non validi. Il sistema destinatario, tentando di riassemblarli, va in crash (Blue Screen of Death sui Windows NT/95/98 storici). Oggi i sistemi moderni sono patchati, ma varianti di frammentazione malformata sono ancora usate.

Difesa: aggiornamento OS, firewall che riassembla i frammenti prima dell’inoltro

Botnet

Principio CIA violato: Availability (e tutti gli altri, a seconda dell’uso)

Una rete di dispositivi compromessi (bot) controllati da un server C2 (Command & Control) gestito dall’attaccante. I dispositivi infetti possono essere PC, smartphone, router, telecamere IP, smart TV. Vengono usati per DDoS, invio di spam, criptomining, furto di dati. Il proprietario del dispositivo spesso non sa di far parte di una botnet.

Difesa: antivirus aggiornato, segmentazione rete, monitoraggio traffico anomalo verso C2

DDoS — Distributed Denial of Service

Principio CIA violato: Availability

Il Distributed Denial of Service usa una botnet per generare un volume massivo di traffico verso un bersaglio, saturandone le risorse (banda, CPU, memoria, connessioni). A differenza del DoS semplice — attacco da un singolo host — il DDoS è quasi impossibile da bloccare filtrando una singola sorgente.

Volumetric
Saturazione della banda (UDP flood, ICMP flood)
Protocol
Saturazione di risorse di rete (SYN flood, Ping of Death)
Application Layer
Saturazione del server applicativo (HTTP flood)
Difesa: CDN, scrubbing center, rate limiting, BGP blackholing, servizi anti-DDoS (Cloudflare, Akamai)

Profili degli attaccanti

Comprendere chi attacca e perché è fondamentale per valutare correttamente il rischio. Gli attaccanti si distinguono per competenze, motivazioni e obiettivi:

Tassonomia degli attaccanti
ProfiloCompetenzaMotivazioneObiettivo tipico
⬜ White HatAltaEtica, contrattoTrovare e correggere vulnerabilità (penetration testing)
⬛ Black HatAltaProfitto, sabotaggioFurto dati, ransomware, spionaggio industriale
⬜⬛ Gray HatMedia-AltaAmbiguaViola sistemi senza autorizzazione ma spesso segnala le vulnerabilità trovate
👶 Script KiddieBassaNotorietà, noiaUsa strumenti preconfezionati senza comprenderli. Pericoloso per la massa, non per i target specifici
✊ HacktivistVariabileIdeologica, politicaDefacement siti, DDoS, leak di dati per promuovere cause (es. Anonymous)
📌 Riepilogo — Punti chiave
  • Il social engineering attacca le persone, non i sistemi — la formazione degli utenti è la prima linea di difesa
  • Un malware ha sempre due componenti: vettore (come entra) e payload (cosa fa)
  • Gli attacchi TCP/IP sfruttano vulnerabilità intrinseche dei protocolli progettati senza sicurezza
  • SYN Flood e DDoS violano la Disponibilità; MITM e IP Spoofing violano Confidenzialità e Integrità
  • Conoscere il profilo dell’attaccante aiuta a dimensionare correttamente le difese e la risposta

Lascia un commento