I tuoi dati potrebbero essere a rischio semplicemente trasferendo file tra il tuo dispositivo e un sito web. Per salvaguardare le tue informazioni personali, le impostazioni del firewall sia per i server esterni che per quelli interni devono essere configurate correttamente. Ecco perché è fondamentale avere familiarità con il server FTP e comprendere le varie strategie di attacco dal punto di vista di un utente malintenzionato.
Quindi cosa sono i server FTP? In che modo i criminali informatici possono intercettare i tuoi dati se non sono configurati correttamente?
Cosa sono i server FTP?
FTP è l'acronimo di File Transfer Protocol. Fornisce il trasferimento di file tra due computer connessi a Internet. In altre parole, puoi trasferire i file che desideri sui server del tuo sito Web tramite FTP. È possibile accedere all'FTP dalla riga di comando o dal client GUI (Graphical User Interface).
La maggior parte degli sviluppatori che utilizzano FTP sono persone che gestiscono regolarmente siti Web e trasferiscono file. Questo protocollo aiuta a rendere la manutenzione dell'applicazione web semplice e senza problemi. Sebbene sia un protocollo piuttosto vecchio, è ancora utilizzato attivamente. Puoi utilizzare FTP non solo per caricare dati ma anche per scaricare file. Un server FTP, invece, funziona come un'applicazione utilizzando il protocollo FTP.
Affinché un utente malintenzionato possa attaccare efficacemente il server FTP, i diritti dell'utente o le impostazioni di sicurezza generali devono essere impostati in modo errato.
In che modo gli hacker compromettono la comunicazione RCP?
RCP è l'acronimo di Remote Procedure Call. Questo aiuta i computer in una rete a fare alcune richieste tra loro senza conoscere i dettagli della rete. La comunicazione con RCP non contiene alcuna crittografia; le informazioni che invii e ricevi sono in chiaro.
Se utilizzi RCP durante la fase di autenticazione del server FTP, il nome utente e la password andranno al server in chiaro. In questa fase, l'aggressore, che sta ascoltando la comunicazione, entra nel traffico e raggiunge le tue informazioni catturando questo pacchetto di testo.
Allo stesso modo, poiché il trasferimento di informazioni tra il client e il server non è crittografato, l'attaccante può farlo rubare il pacchetto che il cliente sta ricevendo e accedere alle informazioni senza la necessità di una password o nome utente. Con l'uso di SSL (Secure Socket Layer), puoi evitare questo pericolo, perché questo livello di sicurezza crittograferà la password, il nome utente e tutta la comunicazione dei dati.
Per utilizzare questa struttura, è necessario disporre di software supportato da SSL sul lato client. Inoltre, se desideri utilizzare SSL, avrai bisogno di un fornitore di certificati di terze parti indipendente, ad esempio un'autorità di certificazione (CA). Poiché la CA esegue il processo di autenticazione tra il server e il client, entrambe le parti devono fidarsi di tale istituzione.
Cosa sono le configurazioni di connessione attive e passive?
Il sistema FTP funziona su due porte. Questi sono i canali di controllo e dati.
Il canale di controllo opera sulla porta 21. Se hai fatto soluzioni CTF utilizzando software come nmap prima, probabilmente hai visto la porta 21. I client si connettono a questa porta del server e avviano la comunicazione dei dati.
Nel canale dati avviene il processo di trasferimento dei file. Quindi questo è lo scopo principale dell'esistenza di FTP. Esistono anche due diversi tipi di connessione durante il trasferimento di file: attiva e passiva.
Connessione attiva
Il client seleziona la modalità di invio dei dati durante una connessione attiva. Quindi richiedono che il server avvii la trasmissione dei dati da una determinata porta e il server lo fa.
Uno dei difetti più significativi di questo sistema inizia con il server che avvia il trasferimento e il firewall del client che approva questa connessione. Se il firewall apre una porta per abilitarlo e accetta connessioni da queste porte, è estremamente rischioso. Di conseguenza, un utente malintenzionato può scansionare il client alla ricerca di porte aperte e hackerare la macchina utilizzando una delle porte FTP scoperte come aperte.
Connessione passiva
In una connessione passiva, il server decide in che modo trasferire i dati. Il client richiede un file dal server. Il server invia le informazioni del client da qualsiasi porta il server possa riceverle. Questo sistema è più sicuro di una connessione attiva perché l'iniziatore è il client e il server si connette alla porta pertinente. In questo modo, il client non ha bisogno di aprire la porta e consentire le connessioni in entrata.
Ma una connessione passiva può ancora essere vulnerabile poiché il server apre una porta su se stesso e attende. L'aggressore esegue la scansione delle porte sul server, si connette alla porta aperta prima che il client richieda il file e recupera il file pertinente senza la necessità di dettagli come le credenziali di accesso.
In questo caso, il client non può intraprendere alcuna azione per proteggere il file. Garantire la sicurezza del file scaricato è un processo completamente lato server. Quindi, come puoi impedire che ciò accada? Per proteggersi da questo tipo di attacco, il server FTP deve consentire solo il Indirizzo IP o MAC che ha richiesto l'associazione del file alla porta che apre.
Mascheramento IP/MAC
Se il server ha il controllo IP/MAC, l'aggressore deve rilevare gli indirizzi IP e MAC del client effettivo e mascherarsi di conseguenza per rubare il file. Naturalmente, in questo caso, le possibilità di successo dell'attacco diminuiranno perché è necessario connettersi al server prima che il computer richieda il file. Fino a quando l'attaccante non esegue il mascheramento IP e MAC, il computer che richiede il file sarà connesso al server.
Periodo di timeout
Un attacco riuscito su un server con filtraggio IP/MAC è possibile se il client subisce brevi periodi di disconnessione durante il trasferimento di file. I server FTP generalmente definiscono un certo periodo di timeout in modo che il trasferimento del file non termini in caso di interruzioni di breve durata della connessione. Quando il client riscontra un problema di questo tipo, il server non disconnette l'indirizzo IP e MAC del client e attende che la connessione venga ristabilita fino alla scadenza del timeout.
Eseguendo il mascheramento IP e MAC, l'attaccante si connette alla sessione aperta sul server durante questo intervallo di tempo e continua a scaricare i file dal punto in cui il client originale si era interrotto.
Come funziona un attacco di rimbalzo?
La caratteristica più importante dell'attacco di rimbalzo è che rende difficile trovare l'attaccante. Se utilizzato insieme ad altri attacchi, un criminale informatico può attaccare senza lasciare tracce. La logica in questo tipo di attacco è utilizzare un server FTP come proxy. I principali tipi di attacco per i quali esiste il metodo bounce sono la scansione delle porte e il passaggio di filtri di pacchetti di base.
Scansione delle porte
Se un utente malintenzionato utilizza questo metodo per la scansione delle porte, quando guardi i dettagli dei registri del server, vedrai un server FTP come computer di scansione. Se il server di destinazione che deve essere attaccato e il server FTP che funge da proxy si trovano sulla stessa sottorete, il server di destinazione non esegue alcun filtraggio dei pacchetti sui dati provenienti dal server FTP. I pacchetti inviati non vengono inseriti nel firewall. Poiché a questi pacchetti non verranno applicate regole di accesso, le possibilità di successo dell'attaccante aumentano.
Passaggio di filtri di pacchetti di base
Utilizzando questo metodo, un utente malintenzionato può accedere al server interno dietro un server FTP anonimo protetto da un firewall. L'aggressore che si connette al server FTP anonimo rileva il server interno connesso mediante il metodo di scansione delle porte e può raggiungerlo. E così, un hacker può attaccare il server che il firewall protegge dalle connessioni esterne, da un punto appositamente definito per comunicare con il server FTP.
Cos'è un attacco Denial of Service?
Attacchi DoS (Denial of Service). non sono un nuovo tipo di vulnerabilità. Gli attacchi DoS vengono eseguiti per impedire al server di consegnare i file sprecando le risorse del server di destinazione. Ciò significa che i visitatori di un server FTP compromesso non possono connettersi al server o ricevere i file richiesti durante questo attacco. In questo caso, è possibile incorrere in enormi perdite finanziarie per un'applicazione Web ad alto traffico e rendere i visitatori molto frustrati!
Capire come funzionano i protocolli di condivisione file
Gli aggressori possono scoprire facilmente i protocolli che utilizzi per caricare i file. Ogni protocollo ha i suoi punti di forza e di debolezza, quindi dovresti padroneggiare vari metodi di crittografia e nascondere queste porte. Certo, è molto meglio vedere le cose con gli occhi di un malintenzionato, al fine di individuare meglio quali misure è necessario adottare per proteggere se stessi e i visitatori.
Ricorda: gli aggressori saranno un passo avanti a te in molti modi. Se riesci a trovare le tue vulnerabilità, puoi ottenere un grande vantaggio su di loro.