07 Ott 2013

Attacchi Hacker: come proteggere il nostro sito

Un hacker, ma anche un' esperto informatico nella programmazione web e non, potrebbe aver preso di mira il vostro sito web per un motivo o per un altro.nIn questo articolo spiegherò come evitare attacchi esterni “da presunti hacker”. Scrivo presunti  poiché in giro sul web girano molti Lamer, (Lamer : persone che si spacciano per hacker, ma che fanno danni al sistema informatico, e utilizzano software di altre persone). Ecco le regole fondamentali da seguire per evitare gli Hacker.

Regola N°1. Assicuratevi che nel vostro sito web non ci siano falle di sicurezza informatica.
Una falla in termini informatici è chiamata anche BUG o BACO cioè un errore nella programmazione e progettazione di quella pagina web. Un errore simile, se sfruttabile, potrebbe compromettere il vostro sito web, (classica schermata con la firma di colui che ha violato il sistema “Hacked By… oppure Defaced By…”). Agli hacker infatti piace penetrare nel sistema informatico altrui come amministratori del sito per prendere in pieno possesso il controllo e fare dunque ciò che vogliono. Controllate prima di tutto il LOGIN. Molti siti commettono ancora degli errori nella query SQL per estrapolare dati di amministratore dal DB senza immettere user e password. L’hacker cerca quindidi individuare questo errore, sfruttando la tecnica chiamata SQL Injection, ovvero Iniezione di codice SQL all’interno del form.

Regola N°2. Controllate il form della ricerca del sito.
Un’altra tecnica utilizzata è quella dell’ XSS ovvero Cross Site Scripting che affligge sopratutto siti web dinamici, la tecnica e comprende l’utilizzo di qualsiasi linguaggio di scripting lato client (Javascript, VBscript…) avendo la  potenzialità di manipolare e reindirizzare informazioni riservate: questo è dovuto al mancato controllo delle variabili negli input.

Regola N°3. Attenzione alle vostre Email
L’hacker, dopo aver controllato e non trovato alcun BUG sul sito, potrebbe attuare la tecnica del Social Engineering, ovvero lo studio di un comportamento individuale di una persona al fine di reperire informazioni utili. Con questa tecnica l’hacker potrebbe riuscire a capire quanto è elevato il vostro interesse per la sicurezza. Più basso è, più probabilità ci sono che avete messo una password facile, probabilmente collegata in qualche modo a voi in modo diretto.  Ricordo che sono da evitare : “nomi dei figli / fidanzata / moglie / amanate, anno di nascita, luogo di nascita seguito dall’anno in corso, nome e cognome, nome  ecc…” . Al contrario una vera password (considerata sicura) è una password composta da almeno 8 caratteri, lettere maiuscole e minuscole, con un numero e con un simbolo che non abbia alcuna parte ricondicibile a voi. Un'altra strategia di social engineering è la seguente : l'haker inizierà a fare ricerche su di voi sui principali motori di ricerca e social network, e solo dopo aver reperito queste informazioni, vi scriverà una bella mail sociale con il vostro interesse preferito, spingendovi a cliccare su un link che troverete nella mail.A quel punto, chiederà i vostri dati di accesso (Indirizzo email e password) dove a voi verrà restituito un errore di accesso, e ed in quel preciso istante il malintenzionato riceverà le vostre reali credenziali con cui accedere ai vostri siti o mail. Per non farvi accorgere di nulla ad esempio potrebbe reindirizzarvi sulla mail originale di Yahoo, Google, Alice…Il fenomeno assume invece  il nome di Pishing qualora la mail vi venga spedita infatti da un'indirizzo apparentemente uguale a quello di un servizio web o di un conto bancario da voi posseduto : il link della mail porterà ad un clone del sito originale ,e voi , non rendendovi conto della differenza , consegnerete su un piatto d'argento i vostri dati al malintenzionato.( ma il pishing è di solito diretto indiscriminatamente verso un gran numero di indirizzi mail senza che ci sia social engineering alle spalle, ma puntando piuttosto sul fatto che su tanti indirizzi qualche pollo ci sarà per forza: come spiegheremo più avanti il vostro sito potrebbe essere utilizzato per realizzare la campagna di pishing) 

Regola N°4. Attenzione a non inserire le stesse password per ogni sito.
Eh già, le password, ricordarle… che noia… meglio mettere una password sicura e utilizzarla per tutti i siti web. SBAGLIATO! Se un hacker entra in possesso del vostro indirizzo email come spiegato nella regola 3, siete fregati. L’hacker accederà al vostro indirizzo email spulciando qualsiasi cosa e avendo accesso a tutti i siti web social network e conti bancari con tutta facilità. Potrebbe addirittura collegare gli account di google analytics, strumenti per webmaster e vedere l’andamento di un sito web, se molto trafficato vi ruberà gli indirizzi email dei vostri utenti / clienti, spingendoli a cliccare sui suoi siti , o cose ancora peggiori .. .Ecco perchè è consigliabile usare password diverse per  ogni registrazione a siti web: in questo modo , se un 'haker entrerà in possesso di una sola password il danno sarà comuqnue limitato e il furbetto rimarrà comunque bloccato in un vicolo cieco.

Regola N°5. Attenzione al Fake Login del vostro sito.
In rete avete sentito parlare di phishing un tipo di truffa dove si cerca di ingannare la vittima facendolo navigare su un sito uguale a quello che conosce ma che non lo è. Un probabile attacco che potrebbe provare un hacker è proprio quest’ultimo: costruirà un sito web uguale al 100%  al vostro modificando i campi del form del login. Con i vari comandi cercherà di individuare web su quale Hosting si trova residente il sito, e sfrutterà verso di voi la tecnica del social engineering spacciandosi per il vostro provider, facendo magari  finta che ci siano dei malfunzionamenti tecnici, invitandovi a seguire una particolare procedura o a chiccare semplicemnte su un link. Dal momento del click, siete fregati, vi ritroverete di fronte al vostro “finto” pannello di login, inserite i dati…. E Bham… errore di connessione! I dati sono stati spediti all’hacker, e voi venite reindirizzati sul vostro vero sito, dove riproverete a fare il login, e questa volta avete pieno accesso. Consiglio? Non cliccate mai sui link che non siete sicuri, e se lo avete già fatto, controllate sempre l’url, se non siete stati già hackerati, quasi al 95% l’url è leggermente diverso dal vostro sito.

Per qualsiasi problema rivolgetevi ad esperti informatici di consolidata fama, o se non li conoscete, commentate pure questo articolo , sarò lieto di dare ulteriori spiegazioni e motivazioni.

  • Stampa
  • Email
Pubblicato in Geek
Etichettato sotto
Letto 4232 volte Ultima modifica il Giovedì, 24 Ottobre 2013 11:02

Seguici sui Social

Privacy Policy

Iscriviti gratis alla Newsletter

E potrai rimanere sempre aggiornato sulle ultime novità tecnologiche

JoomShaper

Questo sito utilizza cookies per migliorare il servizio. Se decidi di continuare la navigazione accetti il loro uso.