- Come funziona un port-scanning?
- Port-scanning e sicurezza informatica
- Difendersi dai cyber attack
- L’attività di port-scanning è ritenuta legale o illegale?
La definizione port-scanning potrebbe non dire molto agli utenti meno esperti, ma si tratta in realtà di un fattore rilevante per quanto concerne la tutela del proprio dispositivo e delle proprie informazioni personali. Per spiegarla con parole semplici, si può dire che permettere ai vari servizi di Rete di “comunicare” con l’esterno.
I dispositivi online, per accedere a qualunque tipo di servizio e applicazione, utilizzano tutti lo stesso varco: le porte, ovvero delle sorte di caselle postali attraverso le quali avviene lo scambio di dati in qualunque rete informatica. La stessa porta Internet può essere utilizzata da programmi e servizi diversi, e purtroppo, proprio le porte Internet a volte vengono utilizzate come mezzo per eseguire tecniche di hacking.
Per gli amministratori è importante conoscere quali porte siano in ascolto, cioè pronte a ricevere una richiesta di contatto da altri nodi della rete, perché consente loro di verificare la tenuta dei sistemi di Hardening (insieme di operazioni specifiche di configurazione di un dato sistema informatico che mirano a minimizzare l’impatto di possibili attacchi informatici che sfruttano vulnerabilità dello stesso) impiegati per ridurre la superficie di attacco di una determinata infrastruttura tecnologica.
Allo stesso tempo, questa informazione si rivela preziosa anche per potenziali aggressori, per identificare i servizi di rete in esecuzione su un host e sfruttare le relative vulnerabilità per ottenere informazioni private, una volta individuata la versione del servizio.
Come funziona un port-scanning?
In pratica, il port scanning è una tecnica, o meglio un insieme di tecniche, utilizzate per determinare quante e quali porte siano aperte su un host generico.
Questa tecnica vale sia che si parli di un server, un client, un router o un firewall, ma anche un qualsiasi dispositivo collegato ad una rete LAN o alla rete Internet.
La scansione delle porte è una procedura basata sull’invio di pacchetti dati a porte specifiche su un host, con l’obiettivo di analizzarne le risposte per identificare la presenza di eventuali vulnerabilità.
Port-scanning e sicurezza informatica
I problemi di sicurezza informatica iniziano nel momento in cui determinate app sono preimpostate per osservare il traffico che passa da una porta Internet. Dato che la stessa porta Internet può venire utilizzata per inviare dati a destinazioni diverse, l’utente rischia di condividere informazioni che magari preferirebbe mantenere confidenziali.
Da qui l’importanza del port-scanning, anche chiamato port checking: un’operazione che permette all’utente di scandagliare le porte Internet di un dispositivo, con l’obiettivo di capire se ci siano app o programmi in ascolto su una porta. Questa tecnica permette agli utenti di difendersi preventivamente da monitoraggi indesiderati.
A volte l’ascolto di una porta Internet è il primo step di un’operazione di hacking più grave. Infatti, in mano agli hacker le porte sono pericolose e possono generare il furto di informazioni personali ma anche l’installazione di virus o di malware all’interno del dispositivo preso sotto mira. Ma in che modo i criminali informatici utilizzano la scansione delle porte come metodo di attacco?
- In primis i malintenzionati avviano delle sessioni di programmi che gli permettono di effettuare una scansione delle porte attive sul server per comprendere quali servizi risultano attivi e di verificare che il server web riporti informazioni sulle versioni dei prodotti installati;
- Mentre i tools di port-scanning attivano i socket di comunicazione verso le porte del server web per verificare la presenza di servizi in stato di listening, i tool di data sniffing analizzano i dati pervenuti dalle richieste inviate al server e estraggono le informazioni utili a condurre un attacco mirato.
- Una volta ricevute le risposte del server, tramite la tecnica del banner grabbing, si procede con la rilevazione del servizio in listening su una specifica porta. Obiettivo: capire se le porte sono aperte, chiuse o filtrate. Se la porta è aperta l’hacker può sferrare il suo attacco. Gli amministratori devono quindi barricare le porte aperte installando firewall per proteggerle senza limitare l’accesso per gli utenti legittimi. Se, invece, la porta è chiusa è meglio comunque mantenere alto il livello di allerta: le porte chiuse indicano che il server o la rete ha ricevuto la richiesta ma non c’è alcun servizio “in ascolto” su quella porta. Se, infine, la porta risulta filtrata significa che il pacchetto di richieste è stato inviato ma che l’host non è in ascolto e non ha risposto, di solito per la presenza di un firewall: gli autori degli attacchi, pertanto, non possono trovare maggiori informazioni.
Difendersi dai cyber attack
È consigliabile verificare immediatamente le eventuali porte aperte sul router accedendo al pannello di configurazione dello stesso e chiudere le porte inutilizzate o non necessarie. La prassi migliore prevedere la chiusura di tutte le porte in ingresso eventualmente aperte sul router e installare un server VPN per accedere da remoto, in tutta sicurezza, alla rete locale, alle risorse condivise e ai dispositivi collegati.
L’attività di port-scanning è ritenuta legale o illegale?
Il port scanning non è un’attività illegale in sé. Ciò che non è ammissibile e perseguibile penalmente è il forzare un sistema remoto per guadagnarvi l’accesso senza l’autorizzazione del proprietario.
Proteggersi adeguatamente dovrebbe essere per tutti, privati e aziende, una priorità, eppure attività di port-scanning continuano a portare alla luce migliaia di sistemi lasciati potenzialmente in balia di criminali informatici.
