2.1 CVE-2011-5066

Un avversario sonda attivamente l'obiettivo in modo da sollecitare informazioni che potrebbero essere sfruttate per scopi malevoli.

L'avversario modifica direttamente o indirettamente le variabili d'ambiente utilizzate dal software bersaglio o che lo controllano. L'obiettivo dell'avversario è quello di indurre il software di destinazione a deviare dal suo funzionamento previsto in un modo che avvantaggi l'avversario. [Sonda dell'applicazione bersaglio] L'avversario prima sonda l'applicazione bersaglio per determinare informazioni importanti sul bersaglio. Queste informazioni potrebbero includere i tipi di software usati, le versioni del software, quali input dell'utente consuma l'applicazione e così via. Ancora più importante, l'avversario cerca di determinare quali variabili d'ambiente potrebbero essere utilizzate dal software sottostante, o anche dall'applicazione stessa. [Usando le informazioni trovate sondando l'applicazione, l'avversario cerca di manipolare qualsiasi variabile d'ambiente controllata dall'utente che ha scoperto essere usata dall'applicazione, o che sospetta essere usata dall'applicazione, e osserva gli effetti di questi cambiamenti. Se l'avversario nota dei cambiamenti significativi nell'applicazione, saprà che una certa variabile d'ambiente è importante per il comportamento dell'applicazione e indica un possibile vettore di attacco. [Manipolare le variabili d'ambiente controllate dall'utente] L'avversario manipola la variabile o le variabili d'ambiente trovate per abusare del normale flusso dei processi o per ottenere l'accesso a risorse privilegiate.

Un avversario si impegna in attività di sondaggio ed esplorazione per identificare i componenti e le proprietà dell'obiettivo. [L'attaccante esamina le informazioni e il codice sorgente del sito web e utilizza strumenti automatizzati per ottenere quante più informazioni possibili sul sistema e sull'organizzazione.

Un attacco di questo tipo sfrutta le vulnerabilità nell'autenticazione del canale di comunicazione client/server e nell'integrità dei dati. Sfrutta la fiducia implicita che un server ripone nel client o, cosa più importante, ciò che il server crede sia il client. Un utente malintenzionato esegue questo tipo di attacco comunicando direttamente con il server in cui il server crede di comunicare solo con un client valido. Esistono numerose varianti di questo tipo di attacco.

Un avversario confronta l'output di un sistema obiettivo con indicatori noti che identificano in modo univoco dettagli specifici sull'obiettivo. Più comunemente, l'impronta digitale viene eseguita per determinare le versioni del sistema operativo e dell'applicazione. L'impronta digitale può essere eseguita sia passivamente che attivamente. L'impronta digitale di per sé non è solitamente dannosa per il bersaglio. Tuttavia, le informazioni raccolte tramite il fingerprinting spesso consentono a un avversario di scoprire le debolezze esistenti nel bersaglio.

Un avversario invia un ICMP Type 8 Echo Request, comunemente noto come 'Ping', al fine di determinare se un sistema di destinazione risponde. Se la richiesta non è bloccata da un firewall o ACL, l'host di destinazione risponderà con un datagramma ICMP Type 0 Echo Reply. Questo tipo di scambio è solitamente indicato come un 'Ping' a causa dell'utilità Ping presente in quasi tutti i sistemi operativi. Ping, come comunemente implementato, permette all'utente di testare gli host vivi, misurare il tempo di andata e ritorno, e misurare la percentuale di perdita di pacchetti.

Un avversario usa un SYN scan per determinare lo stato delle porte sul bersaglio remoto. La scansione SYN è il tipo più comune di scansione delle porte che viene utilizzato a causa dei suoi molti vantaggi e pochi svantaggi. Di conseguenza, gli attaccanti inesperti tendono a fare eccessivo affidamento sulla scansione SYN durante la ricognizione del sistema. Come metodo di scansione, i vantaggi principali della scansione SYN sono la sua universalità e velocità. Un avversario invia pacchetti SYN alle porte che vuole scansionare e controlla la risposta senza completare l'handshake TCP. Un avversario usa la risposta dell'obiettivo per determinare lo stato della porta. L'avversario può determinare lo stato di una porta in base alle seguenti risposte. Quando un SYN viene inviato ad una porta aperta e non filtrata, verrà generato un SYN/ACK. Quando un pacchetto SYN viene inviato a una porta chiusa viene generato un RST, che indica che la porta è chiusa. Quando la scansione SYN a una particolare porta non genera alcuna risposta, o quando la richiesta innesca errori ICMP Tipo 3 non raggiungibile, la porta viene filtrata.

Un avversario enumera i record MX per un dato tramite una query DNS. Questo tipo di raccolta di informazioni restituisce i nomi dei server di posta sulla rete. I server di posta spesso non sono esposti a Internet ma si trovano all'interno della DMZ di una rete protetta da un firewall. Un effetto collaterale di questa configurazione è che l'enumerazione dei record MX per un'organizzazione rivela l'indirizzo IP del firewall o eventualmente di altri sistemi interni. Gli aggressori ricorrono spesso all'enumerazione dei record MX quando un trasferimento di zona DNS non è possibile.

Un utente malintenzionato sfrutta una configurazione errata del DNS che consente il trasferimento nella ZONA. Alcuni server DNS esterni restituiranno un elenco di indirizzi IP e nomi host validi. In determinate condizioni, potrebbe anche essere possibile ottenere i dati della zona sulla rete interna dell'organizzazione. In caso di successo, l'attaccante apprende informazioni preziose sulla topologia dell'organizzazione di destinazione, comprese informazioni su server particolari, il loro ruolo all'interno della struttura IT e possibilmente informazioni sui sistemi operativi in esecuzione sulla rete. Questo è un comportamento dipendente dalla configurazione, quindi potrebbe anche essere necessario cercare più server DNS durante il tentativo di trovarne uno con i trasferimenti ZONE consentiti.

Un avversario invia una sonda a un indirizzo IP per determinare se l'host è attivo. L'individuazione dell'host è una delle prime fasi della ricognizione della rete. L'avversario di solito inizia con un intervallo di indirizzi IP appartenenti a una rete di destinazione e utilizza vari metodi per determinare se un host è presente a quell'indirizzo IP. Il rilevamento dell'host viene solitamente definito scansione "Ping" utilizzando un'analogia sonar. L'obiettivo è inviare un pacchetto all'indirizzo IP e sollecitare una risposta dall'host. In quanto tale, un "ping" può essere praticamente qualsiasi pacchetto predisposto, a condizione che l'avversario possa identificare un host funzionale in base alla sua risposta. Un attacco di questa natura viene solitamente eseguito con un "ping sweep", in cui un particolare tipo di ping viene inviato a un intervallo di indirizzi IP.

Un avversario utilizza un'utilità traceroute per tracciare il percorso i cui dati fluiscono attraverso la rete nel percorso verso una destinazione di destinazione. Il tracerouting può consentire all'avversario di costruire una topologia funzionante di sistemi e router elencando i sistemi attraverso i quali passano i dati nel loro percorso verso la macchina mirata. Questo attacco può restituire risultati diversi a seconda del tipo di traceroute eseguito. Traceroute funziona inviando pacchetti a un target incrementando il campo Time-to-Live nell'intestazione del pacchetto. Mentre il pacchetto attraversa ogni hop lungo il suo percorso verso la destinazione, il suo TTL scade generando un messaggio diagnostico ICMP che identifica dove è scaduto il pacchetto. Le tecniche tradizionali per il tracerouting prevedevano l'uso di ICMP e UDP,ma quando più firewall iniziarono a filtrare l'ingresso ICMP, furono sviluppati metodi di traceroute usando TCP.

Un avversario invia una ICMP Type 17 Address Mask Request per raccogliere informazioni sulla configurazione di rete di un obiettivo. Le ICMP Address Mask Requests sono definite dalla RFC-950, "Internet Standard Subnetting Procedure." Una richiesta di maschera di indirizzo è un messaggio ICMP di tipo 17 che innesca un sistema remoto a rispondere con un elenco delle sue relative sottoreti, così come il suo gateway predefinito e l'indirizzo di broadcast tramite un datagramma ICMP di tipo 18 Address Mask Reply. Raccogliere questo tipo di informazioni aiuta l'avversario a pianificare attacchi basati sui router e attacchi denial-of-service contro l'indirizzo broadcast.

Questo modello di attacco sfrutta le richieste standard per conoscere l'ora esatta associata a un sistema di destinazione. Un avversario può essere in grado di utilizzare il timestamp restituito dal bersaglio per attaccare algoritmi di sicurezza basati sul tempo, come generatori di numeri casuali o meccanismi di autenticazione basati sul tempo.

Un avversario invia una richiesta di informazioni ICMP a un host per determinare se risponderà a questo meccanismo deprecato. Le richieste di informazioni ICMP sono un tipo di messaggio deprecato. Le richieste di informazioni sono state originariamente utilizzate per le macchine senza disco per ottenere automaticamente la loro configurazione di rete, ma questo tipo di messaggio è stato sostituito da implementazioni di protocollo più robuste come DHCP.

Un avversario invia un segmento TCP con il flag ACK impostato a un host remoto allo scopo di determinare se l'host è attivo. Questo è uno dei diversi tipi di 'ping' TCP. Il comportamento previsto dalla RFC 793 per un servizio consiste nel rispondere con un pacchetto di "reset" RST a qualsiasi segmento ACK non richiesto che non fa parte di una connessione esistente. Quindi, inviando un segmento ACK a una porta, l'avversario può identificare che l'host è vivo cercando un pacchetto RST. In genere, un server remoto risponderà con un RST indipendentemente dal fatto che una porta sia aperta o chiusa. In questo modo, i ping TCP ACK non possono scoprire lo stato di una porta remota perché il comportamento è lo stesso in entrambi i casi.Il firewall cercherà il pacchetto ACK nella sua tabella di stato e scarterà il segmento perché non corrisponde a nessuna connessione attiva. Un TCP ACK Ping può essere utilizzato per scoprire se un host è attivo tramite i pacchetti di risposta RST inviati dall'host.

Un avversario invia un datagramma UDP all'host remoto per determinare se l'host è vivo. Se un datagramma UDP viene inviato a una porta UDP aperta molto spesso non c'è risposta, quindi una strategia tipica per l'utilizzo di un ping UDP consiste nell'inviare il datagramma a una porta alta casuale sul target. L'obiettivo è sollecitare un messaggio "Porta ICMP irraggiungibile" dalla destinazione, indicando che l'host è attivo. I ping UDP sono utili perché alcuni firewall non sono configurati per bloccare i datagrammi UDP inviati a porte strane o tipicamente inutilizzate, come le porte nell'intervallo 65K. Inoltre, mentre alcuni firewall possono filtrare l'ICMP in entrata, i punti deboli nei set di regole del firewall possono consentire alcuni tipi di ICMP (host irraggiungibile, porta irraggiungibile) che sono utili per i tentativi di ping UDP.

Un avversario usa i pacchetti TCP SYN come mezzo per scoprire l'host. Il comportamento tipico di RFC 793 specifica che quando una porta TCP è aperta, un host deve rispondere ad un pacchetto SYN "synchronize" in arrivo completando la seconda fase del "three-way handshake" - inviando un SYN/ACK in risposta. Quando una porta è chiusa, il comportamento RFC 793 è di rispondere con un pacchetto RST "reset". Questo comportamento può essere usato per 'ping' un obiettivo per vedere se è vivo, inviando un pacchetto TCP SYN a una porta e poi cercando un pacchetto RST o ACK in risposta.

Un avversario utilizza una combinazione di tecniche per determinare lo stato delle porte su un obiettivo remoto. Qualsiasi servizio o applicazione disponibile per la rete TCP o UDP avrà una porta aperta per le comunicazioni sulla rete.

Un avversario utilizza tentativi di connessione TCP completa per determinare se una porta è aperta sul sistema di destinazione. Il processo di scansione comporta il completamento di una "stretta di mano a tre vie" con una porta remota, e riporta la porta come chiusa se la stretta di mano completa non può essere stabilita. Un vantaggio della scansione di connessione TCP è che funziona contro qualsiasi stack TCP/IP. Un avversario tenta di inizializzare una connessione TCP con la porta di destinazione. Un avversario usa il risultato della sua connessione TCP per determinare lo stato della porta di destinazione. Una connessione riuscita indica che la porta è aperta con un servizio in ascolto su di essa, mentre una connessione fallita indica che la porta non è aperta.

Un avversario usa una scansione TCP FIN per determinare se le porte sono chiuse sulla macchina bersaglio. Questo tipo di scansione viene effettuata inviando segmenti TCP con il bit FIN impostato nell'intestazione del pacchetto. Il comportamento previsto dalla RFC 793 è che qualsiasi segmento TCP con un flag out-of-state inviato a una porta aperta venga scartato, mentre i segmenti con flag out-of-state inviati a porte chiuse dovrebbero essere gestiti con un RST in risposta. Questo comportamento dovrebbe permettere all'avversario di cercare le porte chiuse inviando certi tipi di pacchetti che infrangono le regole (fuori sincronia o non consentiti dal TCB) e rilevare le porte chiuse tramite pacchetti RST. Un avversario invia pacchetti TCP con il flag FIN ma non associati a una connessione esistente alle porte di destinazione. Un avversario usa la risposta del target per determinare lo stato della porta. Se non riceve alcuna risposta, la porta è aperta. Se viene ricevuto un pacchetto RST allora la porta è chiusa.

Un avversario usa una scansione TCP XMAS per determinare se le porte sono chiuse sulla macchina bersaglio. Questo tipo di scansione è realizzato inviando segmenti TCP con tutti i possibili flag impostati nell'intestazione del pacchetto, generando pacchetti che sono illegali in base a RFC 793. Il comportamento previsto dalla RFC 793 è che qualsiasi segmento TCP con un flag fuori stato inviato ad una porta aperta viene scartato, mentre i segmenti con flag fuori stato inviati a porte chiuse dovrebbero essere gestiti con un RST in risposta. Questo comportamento dovrebbe permettere ad un attaccante di cercare le porte chiuse inviando certi tipi di pacchetti che infrangono le regole (fuori sincronia o non consentiti dal TCB) e rilevare le porte chiuse tramite pacchetti RST. Un avversario invia pacchetti TCP con tutti i flag impostati ma non associati a una connessione esistente alle porte di destinazione. Un avversario usa la risposta del target per determinare lo stato della porta. Se non riceve alcuna risposta, la porta è aperta. Se viene ricevuto un pacchetto RST allora la porta è chiusa.

Un avversario usa una scansione TCP NULL per determinare se le porte sono chiuse sulla macchina bersaglio. Questo tipo di scansione è realizzato inviando segmenti TCP senza flag nell'intestazione del pacchetto, generando pacchetti che sono illegali in base a RFC 793. Il comportamento previsto dalla RFC 793 è che qualsiasi segmento TCP con un flag fuori stato inviato ad una porta aperta viene scartato, mentre i segmenti con flag fuori stato inviati a porte chiuse dovrebbero essere gestiti con un RST in risposta. Questo comportamento dovrebbe permettere ad un aggressore di cercare le porte chiuse inviando certi tipi di pacchetti che infrangono le regole (fuori sincronia o non consentiti dal TCB) e rilevare le porte chiuse tramite pacchetti RST. Un avversario invia pacchetti TCP senza flag impostati e che non sono associati a una connessione esistente alle porte di destinazione. Un avversario usa la risposta del target per determinare lo stato della porta. Se non riceve alcuna risposta, la porta è aperta. Se viene ricevuto un pacchetto RST allora la porta è chiusa.

Un avversario usa i segmenti TCP ACK per raccogliere informazioni sulla configurazione del firewall o dell'ACL. Lo scopo di questo tipo di scansione è quello di scoprire informazioni sulle configurazioni dei filtri piuttosto che sullo stato delle porte. Questo tipo di scansione è raramente utile da solo, ma quando è combinato con la scansione SYN, dà un quadro più completo del tipo di regole del firewall che sono presenti. Un avversario invia pacchetti TCP con il flag ACK impostato e che non sono associati ad una connessione esistente alle porte di destinazione. Un avversario usa la risposta della porta di destinazione per determinare lo stato della porta. Se viene ricevuto un pacchetto RST la porta di destinazione è chiusa o l'ACK è stato inviato fuori sincrono. Se non si riceve alcuna risposta, è probabile che la destinazione stia usando un firewall stateful.

Un avversario si impegna nella scansione TCP Window per analizzare lo stato della porta e il tipo di sistema operativo. La scansione TCP Window utilizza il metodo di scansione ACK ma esamina il campo TCP Window Size dei pacchetti RST di risposta per fare certe inferenze. Mentre le scansioni TCP Window sono veloci e relativamente furtive, funzionano contro un minor numero di implementazioni dello stack TCP rispetto a qualsiasi altro tipo di scansione. Alcuni sistemi operativi restituiscono una dimensione positiva della finestra TCP quando un pacchetto RST viene inviato da una porta aperta, e un valore negativo quando l'RST proviene da una porta chiusa. La scansione delle finestre TCP è uno dei tipi di scansione più complessi e i suoi risultati sono difficili da interpretare. La scansione delle finestre da sola raramente produce informazioni utili, ma se combinata con altri tipi di scansione è più utile. È un mezzo generalmente più affidabile per fare inferenze sulle versioni del sistema operativo rispetto allo stato delle porte. Un avversario invia pacchetti TCP con il flag ACK impostato e che non sono associati ad una connessione esistente alle porte di destinazione. Un avversario usa la risposta del bersaglio per determinare lo stato della porta. In particolare, l'avversario vede la dimensione della finestra TCP dal pacchetto RST restituito, se ne ha ricevuto uno. A seconda del sistema operativo di destinazione, una dimensione positiva della finestra può indicare una porta aperta, mentre una dimensione negativa può indicare una porta chiusa.

Un avversario esegue la scansione dei servizi RPC elencati su un host Unix/Linux. Un avversario invia pacchetti RCP alle porte di destinazione. Un avversario usa la risposta del bersaglio per determinare quale servizio RPC, se esiste, è in esecuzione su quella porta. Le risposte variano in base al servizio RPC in esecuzione.

Un avversario si impegna nella scansione UDP per raccogliere informazioni sullo stato della porta UDP sul sistema di destinazione. I metodi di scansione UDP prevedono l'invio di un datagramma UDP alla porta di destinazione e la ricerca di prove che la porta sia chiusa. Le porte UDP aperte di solito non rispondono ai datagrammi UDP poiché non c'è un meccanismo di stato all'interno del protocollo che richiede di costruire o stabilire una sessione. Le risposte ai datagrammi UDP sono quindi specifiche dell'applicazione e non si può fare affidamento su di esse come metodo per rilevare una porta aperta. La scansione UDP si basa molto sui messaggi diagnostici ICMP per determinare lo stato di una porta remota. Un avversario invia pacchetti UDP alle porte di destinazione. Un avversario usa la risposta del bersaglio per determinare lo stato della porta. Se una porta risponde ad un pacchetto UDP dipende da quale applicazione è in ascolto su quella porta. Nessuna risposta non indica che la porta non è aperta.

Un avversario si impegna in attività di scansione per mappare nodi di rete, host, dispositivi e percorsi. Gli avversari di solito eseguono questo tipo di ricognizione della rete durante le prime fasi dell'attacco contro una rete esterna. In genere vengono impiegati molti tipi di utilità di scansione, inclusi strumenti ICMP, mappatori di rete, scanner di porte e utilità di test del percorso come traceroute.

Un utente malintenzionato esegue un'attività di scansione per trovare versioni o tipi di software vulnerabili, come versioni del sistema operativo o servizi di rete. Configurazioni di rete vulnerabili o sfruttabili, come sistemi con firewall non corretti o sistemi configurati in modo errato nella DMZ o nella rete esterna, offrono finestre di opportunità per un utente malintenzionato. I tipi comuni di software vulnerabile includono sistemi operativi o servizi senza patch (ad es. FTP, Telnet, SMTP, SNMP) in esecuzione su porte aperte identificate dall'attaccante. Gli aggressori di solito iniziano a cercare software vulnerabile una volta che la rete esterna è stata scansionata e sono stati rivelati potenziali bersagli.

Un avversario intraprende un'attività per rilevare il sistema operativo o la versione del firmware di un target remoto interrogando un dispositivo, un server o una piattaforma con una sonda progettata per sollecitare un comportamento che rivelerà informazioni sui sistemi operativi o sul firmware nell'ambiente. Il rilevamento del sistema operativo è possibile perché le implementazioni di protocolli comuni (come IP o TCP) differiscono in modi distinti. Sebbene le differenze di implementazione non siano sufficienti per "infrangere" la compatibilità con il protocollo, le differenze sono rilevabili perché il target risponderà in modi unici a specifiche attività di sondaggio che infrangono le regole semantiche o logiche della costruzione del pacchetto per un protocollo. Diversi sistemi operativi avranno una risposta unica all'input anomalo,fornendo la base per l'impronta digitale del comportamento del sistema operativo. Questo tipo di impronte digitali del sistema operativo può distinguere tra tipi e versioni del sistema operativo.

Un avversario intraprende un'attività per rilevare la versione o il tipo di software del sistema operativo in un ambiente monitorando passivamente la comunicazione tra dispositivi, nodi o applicazioni. Le tecniche passive per il rilevamento del sistema operativo non inviano sonde effettive a un obiettivo, ma monitorano la comunicazione di rete o client-server tra i nodi al fine di identificare i sistemi operativi in base al comportamento osservato rispetto a un database di firme o valori noti. Sebbene l'impronta digitale passiva del sistema operativo non sia solitamente affidabile quanto i metodi attivi, è generalmente più in grado di eludere il rilevamento.

Questa sonda di fingerprinting del sistema operativo analizza l'algoritmo di generazione del numero di sequenza del campo 'ID' di un host remoto. I sistemi operativi generano i numeri "ID" IP in modo diverso, consentendo a un utente malintenzionato di identificare il sistema operativo dell'host esaminando come vengono assegnati i numeri ID durante la generazione dei pacchetti di risposta. La RFC 791 non specifica come vengono scelti i numeri ID oi loro intervalli, quindi la generazione della sequenza ID differisce da implementazione a implementazione. Esistono due tipi di analisi del numero di sequenza 'ID' IP: Sequenziamento 'ID' IP: analisi dell'algoritmo di generazione della sequenza 'ID' IP per un protocollo utilizzato da un host e Sequenziamento 'ID' IP condiviso: analisi dell'ordinamento dei pacchetti tramite IP ' valori ID' che abbracciano più protocolli,come tra ICMP e TCP.

Questa sonda di fingerprinting del sistema operativo verifica se l'host remoto restituisce il valore IP 'ID' dal pacchetto della sonda. Un utente malintenzionato invia un datagramma UDP con un valore 'ID' IP arbitrario a una porta chiusa sull'host remoto per osservare il modo in cui questo bit viene riportato nel messaggio di errore ICMP. Il campo di identificazione (ID) è tipicamente utilizzato per riassemblare un pacchetto frammentato. Alcuni sistemi operativi o firmware del router invertono l'ordine dei bit del campo ID durante l'eco della parte dell'intestazione IP del datagramma originale all'interno di un messaggio di errore ICMP.

Questa sonda di fingerprinting del sistema operativo verifica se l'host remoto restituisce il bit IP 'DF' (Don't Fragment) in un pacchetto di risposta. Un utente malintenzionato invia un datagramma UDP con il bit DF impostato su una porta chiusa sull'host remoto per osservare se il bit 'DF' è impostato nel pacchetto di risposta. Alcuni sistemi operativi echeggeranno il bit nel messaggio di errore ICMP mentre altri azzereranno il bit nel pacchetto di risposta.

Questa sonda di fingerprinting OS esamina l'implementazione dei timestamp TCP del server remoto. Non tutti i sistemi operativi implementano i timestamp all'interno dell'intestazione TCP, ma quando i timestamp sono utilizzati, allora questo fornisce all'attaccante un mezzo per indovinare il sistema operativo dell'obiettivo. L'attaccante inizia sondando qualsiasi servizio TCP attivo al fine di ottenere una risposta che contiene un timestamp TCP. Sistemi operativi diversi aggiornano il valore del timestamp con intervalli diversi. Questo tipo di analisi è più accurata quando più risposte di timestamp sono ricevute e poi analizzate. I timestamp TCP possono essere trovati nel campo TCP Options dell'intestazione TCP. [L'avversario invia un pacchetto sonda all'host remoto per identificare se i timestamp sono presenti. [Registrare e analizzare i valori di timestamp] Se l'host remoto sta usando il timestamp, ottenere diversi timestamp, analizzarli e confrontarli con valori noti.

Questa sonda di fingerprinting del sistema operativo verifica l'assegnazione del sistema di destinazione dei numeri di sequenza TCP. Un modo comune per testare la generazione del numero di sequenza TCP consiste nell'inviare un pacchetto probe a una porta aperta sul target e quindi confrontare il modo in cui il numero di sequenza generato dal target si riferisce al numero di riconoscimento nel pacchetto probe. Diversi sistemi operativi assegnano i numeri di sequenza in modo diverso, quindi è possibile ottenere un'impronta digitale del sistema operativo classificando la relazione tra il numero di riconoscimento e il numero di sequenza come segue: 1) il numero di sequenza generato dal target è zero, 2) il numero di sequenza generato dal target è uguale al numero di riconoscimento nella sonda,3) il Sequence Number generato dal target è il numero di riconoscimento più uno, o 4) il Sequence Number è qualsiasi altro numero diverso da zero.

Questa sonda di fingerprinting del sistema operativo invia un numero di pacchetti TCP SYN a una porta aperta di una macchina remota. Il numero di sequenza iniziale (ISN) in ciascuno dei pacchetti di risposta SYN/ACK viene analizzato per determinare il numero più piccolo che l'host di destinazione utilizza quando incrementa i numeri di sequenza. Queste informazioni possono essere utili per identificare un sistema operativo perché particolari sistemi operativi e versioni incrementano i numeri di sequenza utilizzando valori diversi. Il risultato dell'analisi viene quindi confrontato con un database di comportamenti del sistema operativo per determinare il tipo e/o la versione del sistema operativo.

Questa sonda di rilevamento del sistema operativo misura la velocità media degli incrementi del numero di sequenza iniziale durante un periodo di tempo. I numeri di sequenza vengono incrementati utilizzando un algoritmo basato sul tempo e sono suscettibili di un'analisi temporale che può determinare il numero di incrementi per unità di tempo. Il risultato di questa analisi viene quindi confrontato con un database di sistemi operativi e versioni per determinare probabili corrispondenze del sistema operativo.

Questo tipo di sonda del sistema operativo tenta di determinare una stima di quanto sia prevedibile l'algoritmo di generazione del numero di sequenza per un host remoto. Le tecniche statistiche, come la deviazione standard, possono essere utilizzate per determinare quanto sia prevedibile la generazione del numero di sequenza per un sistema. Questo risultato può quindi essere confrontato con un database di comportamenti del sistema operativo per determinare una probabile corrispondenza per sistema operativo e versione.

Questa sonda di fingerprinting del sistema operativo verifica se l'host remoto supporta la messaggistica di notifica di congestione esplicita (ECN). La messaggistica ECN è stata progettata per consentire ai router di notificare a un host remoto quando si verificano problemi di congestione del segnale. La messaggistica esplicita di notifica di congestione è definita da RFC 3168. Diversi sistemi operativi e versioni possono o meno implementare notifiche ECN o possono rispondere in modo univoco a particolari tipi di flag ECN.

Questa sonda di fingerprinting del sistema operativo controlla la dimensione iniziale della finestra TCP. Lo stack TCP limita la gamma di numeri di sequenza consentiti all'interno di una sessione per mantenere lo stato "connesso" nella logica del protocollo TCP. La dimensione della finestra iniziale specifica una gamma di numeri di sequenza accettabili che si qualificheranno come risposta ad un pacchetto ACK all'interno di una sessione. Vari sistemi operativi usano diverse dimensioni della finestra iniziale. La dimensione iniziale della finestra può essere campionata stabilendo una normale connessione TCP.

Questa sonda di fingerprinting del sistema operativo analizza il tipo e l'ordine di qualsiasi opzione di intestazione TCP presente all'interno di un segmento di risposta. La maggior parte dei sistemi operativi utilizza un ordinamento univoco e diversi set di opzioni quando sono presenti le opzioni. La RFC 793 non specifica un ordine richiesto quando sono presenti le opzioni, quindi implementazioni diverse utilizzano modi univoci per ordinare o strutturare le opzioni TCP. Le opzioni TCP possono essere generate dal traffico TCP ordinario.

Questa sonda di fingerprinting del sistema operativo esegue un checksum su qualsiasi dato ASCII contenuto nella porzione di dati o in un pacchetto RST. Alcuni sistemi operativi riporteranno un messaggio di testo leggibile dall'uomo nel payload di un pacchetto 'RST' (reset) quando si verificano tipi specifici di errori di connessione. RFC 1122 consente payload di testo all'interno di pacchetti di ripristino, ma non tutti i sistemi operativi oi router implementano questa funzionalità.

Un avversario utilizza una tecnica per generare un messaggio di errore ICMP (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) da un obiettivo e poi analizzare la quantità di dati restituiti o "quoted" dalla richiesta di origine che ha generato il messaggio di errore ICMP.

Un avversario utilizza una tecnica per generare un messaggio di errore ICMP (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) da un obiettivo e poi analizzare l'integrità dei dati restituiti o "quoted" dalla richiesta di origine che ha generato il messaggio di errore.

Un utente malintenzionato crea con cura piccoli frammenti di Java Script per rilevare in modo efficiente il tipo di browser utilizzato dalla potenziale vittima. Molti attacchi basati sul Web richiedono una conoscenza preliminare del browser Web, inclusa la versione del browser, per garantire lo sfruttamento corretto di una vulnerabilità. Avere questa conoscenza consente a un utente malintenzionato di prendere di mira la vittima con attacchi che sfruttano in modo specifico debolezze note o zero day nel tipo e nella versione del browser utilizzato dalla vittima. Automatizzare questo processo tramite Java Script come parte dello stesso sistema di consegna utilizzato per sfruttare il browser è considerato più efficiente in quanto l'attaccante può fornire un metodo di fingerprinting del browser e integrarlo con codice exploit, tutto contenuto in Java Script e in risposta allo stesso richiesta di pagine web da parte del browser.

Un avversario si impegna in attività di sondaggio ed esplorazione per determinare se esistono file chiave comuni. Tali file contengono spesso parametri di configurazione e sicurezza dell'applicazione, del sistema o della rete di destinazione. L'utilizzo di questa conoscenza può spesso aprire la strada ad attacchi più dannosi.

In un attacco "shoulder surfing", un avversario osserva le sequenze di tasti, il contenuto dello schermo o le conversazioni di un individuo ignaro con l'obiettivo di ottenere informazioni sensibili. Un motivo per questo attacco è quello di ottenere informazioni sensibili sul bersaglio per guadagni finanziari, personali, politici o altro. Da una prospettiva di minaccia insider, un ulteriore motivo potrebbe essere quello di ottenere credenziali di sistema/applicazione o chiavi crittografiche. Gli attacchi di shoulder surfing si realizzano osservando il contenuto "sopra la spalla della vittima", come implica il nome di questo attacco.

Un avversario sfrutta la funzionalità destinata a identificare le informazioni sui processi attualmente in esecuzione sul sistema di destinazione a un utente autorizzato. Sapendo quali processi sono in esecuzione sul sistema di destinazione, l'avversario può conoscere l'ambiente di destinazione come mezzo per ulteriori comportamenti dannosi.

Un avversario sfrutta la funzionalità destinata a identificare le informazioni sui servizi sul sistema di destinazione ad un utente autorizzato. Sapendo quali servizi sono registrati sul sistema di destinazione, l'avversario può conoscere l'ambiente di destinazione come mezzo per ulteriori comportamenti dannosi. A seconda del sistema operativo, i comandi che possono ottenere informazioni sui servizi includono "sc" e "tasklist/svc" usando Tasklist, e "net start" usando Net.

Un avversario sfrutta la funzionalità destinata a identificare le informazioni sugli account di dominio e le loro autorizzazioni sul sistema di destinazione ad un utente autorizzato. Sapendo quali account sono registrati sul sistema di destinazione, l'avversario può informare ulteriori e più mirati comportamenti malevoli. Esempi di comandi di Windows che possono acquisire queste informazioni sono: "net user" e "dsquery".

Un avversario sfrutta la funzionalità destinata a identificare le informazioni sui gruppi di utenti e le loro autorizzazioni sul sistema di destinazione ad un utente autorizzato. Sapendo quali utenti/permessi sono registrati sul sistema di destinazione, l'avversario può informare ulteriori e più mirati comportamenti malevoli. Un esempio di comando di Windows che può elencare i gruppi locali è "net localgroup".

Un avversario sfrutta una funzionalità destinata a identificare le informazioni sugli utenti primari del sistema di destinazione ad un utente autorizzato. Possono farlo, per esempio, esaminando i login o i tempi di modifica dei file. Sapendo quali proprietari utilizzano il sistema di destinazione, l'avversario può informare ulteriori e più mirati comportamenti dannosi. Un esempio di comando di Windows che può realizzare questo è "dir /A ntuser.dat". Che mostrerà l'ultima ora modificata del file ntuser.dat di un utente quando viene eseguito all'interno della cartella principale di un utente. Questo tempo è sinonimo dell'ultima volta che l'utente ha effettuato l'accesso.

Questo attacco prende di mira l'ID di sessione prevedibile al fine di ottenere privilegi. L'attaccante può prevedere l'ID di sessione utilizzato durante una transazione per eseguire lo spoofing e il dirottamento di sessione. Trova gli ID di sessione] L'attaccante interagisce con l'host bersaglio e scopre che gli ID di sessione sono usati per autenticare gli utenti. [Caratterizzare gli ID] L'attaccante studia le caratteristiche dell'ID di sessione (dimensione, formato, ecc.). Come risultato l'attaccante scopre che gli ID di sessione legittimi sono prevedibili. [Match issued IDs] L'attaccante fa una forza bruta su diversi valori di ID di sessione e riesce a prevedere un ID di sessione valido. [Use matched Session ID] L'attaccante usa l'ID di sessione falsificato per accedere al sistema di destinazione.

Questo attacco mira al riutilizzo di ID di sessione validi per spoofare il sistema di destinazione al fine di ottenere privilegi. L'attaccante cerca di riutilizzare un ID di sessione rubato usato in precedenza durante una transazione per eseguire lo spoofing e il dirottamento della sessione. Un altro nome per questo tipo di attacco è Session Replay. L'attaccante interagisce con l'host di destinazione e scopre che gli ID di sessione sono utilizzati per autenticare gli utenti. L'attaccante ruba un ID di sessione da un utente valido. L'attaccante cerca di utilizzare l'ID di sessione rubato per ottenere l'accesso al sistema con i privilegi del proprietario originale dell'ID di sessione.

Un avversario fornisce una versione dannosa di una risorsa in una posizione simile alla posizione prevista di una risorsa legittima. Dopo aver stabilito la posizione non autorizzata, l'avversario attende che una vittima visiti la posizione e acceda alla risorsa dannosa.

Un avversario scopre le connessioni tra i sistemi sfruttando la pratica standard del sistema di destinazione di rivelarli in aree comuni ricercabili. Attraverso l'identificazione di cartelle/unità condivise tra i sistemi, l'avversario può promuovere i propri obiettivi di localizzare e raccogliere informazioni/file sensibili o mappare potenziali percorsi per il movimento laterale all'interno della rete.

Gli avversari possono tentare di ottenere informazioni sui dispositivi periferici collegati e sui componenti collegati a un sistema informatico. Gli esempi possono includere la scoperta della presenza di dispositivi iOS tramite la ricerca di backup, l'analisi del registro di Windows per determinare quali dispositivi USB sono stati collegati o l'infezione di un sistema vittima con malware per segnalare quando è stato collegato un dispositivo USB. Ciò può consentire all'avversario di ottenere ulteriori informazioni sul sistema o sull'ambiente di rete, che possono essere utili per costruire ulteriori attacchi.

Un avversario intercetta una forma di comunicazione (es. testo, audio, video) tramite software (es. microfono e applicazione di registrazione audio), hardware (es. apparecchio di registrazione) o mezzi fisici (es. prossimità fisica). L'obiettivo dell'intercettazione è in genere quello di ottenere l'accesso non autorizzato a informazioni sensibili sull'obiettivo per guadagni finanziari, personali, politici o di altro tipo. L'intercettazione è diversa da un attacco di sniffing in quanto non avviene su un canale di comunicazione basato sulla rete (ad es. traffico IP). Invece, comporta l'ascolto della sorgente audio grezza di una conversazione tra due o più parti.

Questo attacco mira alla codifica dei caratteri Slash. Un avversario cercherebbe di sfruttare i comuni problemi di filtraggio relativi all'uso dei caratteri slash per ottenere l'accesso alle risorse sull'host di destinazione. I sistemi basati su directory, come i file system e i database, tipicamente usano il carattere slash per indicare l'attraversamento tra directory o altri componenti del contenitore. Per oscuri motivi storici, i PC (e, di conseguenza, i sistemi operativi Microsoft) scelgono di utilizzare un backslash, mentre il mondo UNIX tipicamente fa uso della barra avanti. Il risultato schizofrenico è che molti sistemi basati su MS devono comprendere entrambe le forme di slash. Questo dà all'avversario molte opportunità di scoprire e abusare di un certo numero di problemi di filtraggio comuni. L'obiettivo di questo schema è scoprire il software del server che applica i filtri solo ad una versione, ma non all'altra. [Utilizzando un browser, uno strumento automatico o ispezionando l'applicazione, un avversario registra tutti i punti di ingresso all'applicazione. [Sonda i punti d'ingresso per individuare le vulnerabilità] L'avversario usa i punti d'ingresso raccolti nella fase "Esplora" come una lista di obiettivi e cerca le aree in cui l'input dell'utente viene usato per accedere alle risorse sull'host di destinazione. L'avversario tenta diverse codifiche di caratteri slash per bypassare i filtri di input. [Una volta che l'avversario determina come bypassare i filtri che filtrano i caratteri slash, manipola l'input dell'utente per includere gli slash al fine di attraversare le directory e accedere a risorse che non sono destinate all'utente.