Minacce e difese, GLI BUFFER OVERFLOW

LA MINACCIA
Gli attacchi Buffer overflow sono fra i più frequenti e pericolosi, e continuano a manifestarsi con preoccupante regolarità, costringendo le software house a correre costantemente ai ripari rendendo disponibili patch, hot fix e service pack di ogni genere.

La continuità con cui si verificano questi episodi deriva dal fatto che gli attacchi Buffer overflow sfruttano un tipo di vulnerabilità del codice delle applicazioni che risulta estremamente diffuso e difficile da identificare preventivamente.

Si tratta della possibilità di scatenare comportamenti anomali (ma utili ai fini di attacco) in un sistema o in un applicativo, fornendo in input valori fuori dai limiti trattabili dal software.

Nella fattispecie, l'attacco consiste nel somministrare ai programmi dei dati costituiti da stringhe di caratteri o blocchi di dati eccessivamente lunghi. I sistemi operativi e le applicazioni attuali non vengono mai scritti partendo da zero, ma contengono sempre almeno una quota di codice o librerie di concezione più o meno sorpassata che fra gli altri difetti hanno quello, gravissimo, di omettere di verificare che i dati ricevuti (dalla rete, da disco) siano in quantità compatibile con lo spazio riservato per accoglierli.

Così, quando questi dati vengono intenzionalmente forniti in eccesso, calibrando esattamente quantità e valori, è possibile fare in modo che il programma vada in errore, perda il controllo ed esegua codice scritto dall'hacker.

Quando questo avviene, la macchina attaccata di fatto passa sotto il controllo dell'attaccante. Costui, in genere, fa in modo che venga installata una backdoor, così da poter più comodamente riprendere il controllo in seguito (anche da remoto, via rete), oppure un altro malware per causare danni immediati. Ma, in linea di principio, non vi è limite al tipo di software che può essere installato e mandato in esecuzione.

Grazie allo sfruttamento della tecnica Buffer overflow diventa quindi più facile, per gli attaccanti, installare spyware per perpetrare il furto di identità o procurarsi numeri di carte di credito e codici d'accesso per sottrazione indebita di fondi, installare wormper infliggere disservizi al fine di ricattare l'organizzazione vittima, agganciare a una bot-net il sistema attaccato per sfruttarlo in illeciti attacchi DDoS contro siti Internet.

LA DIFESA
• La prima linea di difesa consiste nell'evitare di lasciare aperte le vulnerabilità conosciute. Per questo, è di capitale importanza scaricare regolarmente e installare subito tutti gli aggiornamenti resi disponibili dal produttore del proprio sistema operativo e delle proprie applicazioni.

• Una seconda misura consiste nell'installazione di un firewall. Questo non impedisce che si verifichi l'infezione, e nemmeno che a seguito dell'infezione venga installata una backdoor, ma ostacola piuttosto efficacemente il funzionamento di quest'ultima, in quanto blocca le connessioni entranti.

• Quando possibile, provare a utilizzare anche programmi e sistemi operativi alternativi rispetto a quelli più diffusi. Gli hacker concentrano i loro sforzi sulla ricerca di vulnerabilità nei sistemi che vanno per la maggiore, lasciando tendenzialmente "in pace" gli altri.