Canale Offerte e Sconti su Telegram
Scopri le migliori offerte sul canale Telegram ufficiale. Guarda su Telegram
  1. Home
  2. Computer
  3. Sicurezza informatica
  4. Altro su Sicurezza informatica
  5. Come bucare un sito

Come bucare un sito

di

Finalmente sei riuscito a creare il tuo primo sito Web e, entusiasta della cosa, hai deciso di renderlo subito pubblico. Prima ancora di passare all'azione, però, un dubbio ti assale: e se qualche malintenzionato volesse prendersi gioco di te e si impegnasse per distruggere il risultato che, con tanta pazienza, hai raggiunto? Quali sono le tecniche che i criminali informatiche utilizzano per violare l'integrità delle pagine Internet?

Se ti stai ponendo proprio queste domande, allora sappi che ti trovi esattamente nel posto più adatto a fornirti le risposte del caso. Lasciami però prima dirti che, per fortuna, quando dei cybercriminali studiano come bucare un sito al giorno d'oggi si scontrano con tante misure di sicurezza atte proprio a proteggere al meglio il portale. Ecco allora che è sempre bene non farsi prendere dal panico, approfondendo anzi le misure da attuare per evitare il più possibile spiacevoli inconvenienti (cosa che ti illustrerò come fare in questa sede).

Se intendi dunque procedere, sappi che in questo post verrai a conoscenza dei principali fronti a cui prestare attenzione, ovviamente solo a scopo di protezione del sito Web. Non mi assumo alcuna responsabilità circa utilizzi scorretti di quanto citato, considerando che è tutto esclusivamente a scopo informativo e di carattere generico. Detto ciò, a me non resta altro da fare, se non augurarti buona lettura e farti un grosso in bocca al lupo per tutto!

Indice

Informazioni preliminari

Informazioni preliminari

Prima di entrare nel vivo di questa guida, ritengo doveroso illustrarti il significato di alcuni termini chiave che potresti sentire spesso in questo ambito. Conoscendo i termini di seguito, infatti, potrai capire meglio a cosa si fa riferimento in termini di cybersecurity.

  • Bug: si tratta del termine tecnico per definire un errore di programmazione di un software. Non sempre i bug dei programmi e delle app riguardano la sicurezza, tuttavia non è raro imbattersi in problemi di questo tipo. In genere, i bug vengono risolti dagli aggiornamenti.
  • Exploit: è il termine che identifica un programma progettato con il preciso intento di sfruttare un bug a vantaggio del criminale.
  • 0-day: con questa parola si definiscono gli exploit “nuovi”, non ancora noti alle software house di sicurezza, né ai progettisti dei software coinvolti.
  • Patch: è la soluzione rilasciata dai programmatori per risolvere un bug. Solitamente, le patch vengono rilasciate sotto forma di aggiornamento ma, in alcuni casi, possono essere applicate manualmente.
  • Backdoor: letteralmente “porta sul retro”, si tratta di un canale d'acceso che i criminali informatici lasciano aperto, in modo da accedere al server in maniera silenziosa e indisturbata.
  • Deface: è la pratica attuata dai criminali informatici per violare un sito e stravolgerne la home page e/o l'intero contenuto.
  • CMS: sta per Content Management System e identifica un set di programmi che consentono di semplificare in modo notevole la realizzazione di contenuti dinamici (ad es. i siti Web).
  • Firewall: è un sistema che protegge i dati in transito da e verso gli apparecchi informatici (server, PC, router, smartphone, tablet e così via). Può essere di tipo software o hardware.
  • Botnet: termine che si utilizza per identificare un insieme di PC controllati da un “server di controllo”, che porta questi ultimi a compiere una serie di operazioni di proprio conto senza che i legittimi proprietari dei computer ne siano a conoscenza.
  • DDoS: gli attacchi Distributed Denial of Service non mirano esattamente a bucare un portale, bensì a sovraccaricare di richieste il server/sito Web così da tentare di renderne temporaneamente impossibile la consultazione da parte degli utenti. Si fa riferimento insomma a una situazione in cui viene generato un enorme traffico malevolo, sfruttando in alcuni casi anche botnet.

Andando oltre ai termini indicati in questa sede, vale la pena notare che, come già accennato in apertura, per fortuna bucare un sito Web non è un'operazione semplice. Spesso infatti a giocare un ruolo decisivo nel contesto degli accessi abusivi è una disattenzione da parte chi lavora al portale in questione, che potrebbe cadere nella trappola delle tecniche di ingegneria sociale. Ecco allora che più avanti nel corso di questo post mi occuperò di metterti a conoscenza delle questioni a cui è bene prestare attenzione.

Come fanno gli hacker a bucare un sito

Adesso che sei a conoscenza delle principali terminologie che si utilizzano in questo campo, direi che è giunta l'ora di vedere quali sono i principali fronti a cui prestare attenzione. A tal proposito, purtroppo quando i criminali informatici studiano come bucare un sito questi non si fanno scrupoli nel provarle tutte. Ecco allora che, come sempre si dice nell'ambito della sicurezza informatica, la conoscenza è importante. Di seguito trovi quindi informazioni ben note da tempo agli esperti di cybersecurity, ma che gli utenti comuni spesso non conoscono.

Tecniche di ingegneria sociale

Tecniche di ingegneria sociale

Oggi i nostri dispositivi sono perennemente connessi a Internet e dietro un singolo progetto possono esserci tante menti, ognuna con le proprie abitudini quotidiane. Ecco allora che è un attimo che uno tra i membri del team possa avere un momento di distrazione o di debolezza, che tutti noi abbiamo nel quotidiano, cadendo in una trappola dei cybercriminali. È proprio qui infatti che si inseriscono, purtroppo, le tecniche di ingegneria sociale, basate di fatto sul raggiro dell'ignara vittima.

Nel mondo reale una tecnica di ingegneria sociale che viene utilizzata dai malintenzionati è relativa al fingere un'urgenza per farsi prestare il computer all'unico scopo di accedere in seguito in modo fraudolento al pannello di controllo del portale in questione, oppure di installare software spia. Per quel che riguarda il Web, spesso i criminali cercano di fingersi una realtà credibile, si pensi per esempio al datore di lavoro, al webmaster o al supporto tecnico, cercando in seguito di farsi dare le credenziali direttamente dalla vittima, per esempio tramite e-mail.

Ecco allora che diventa importante prestare attenzione alle strane comunicazioni, anche se sembrano provenire da persone che si conoscono. Dato che a volte può essere difficile ragionare a mente fredda, però, ti puoi aiutare tramite ricerche su Google o facendo un po' di brainstorming con un chatbot IA come ChatGPT. Per quanto l'intelligenza artificiale non sia perfetta, infatti, spesso riesce a rilevare i raggiri più comuni. C'è da dire, però, che i cybercriminali potrebbero tentare di copiare comunicazioni reali, dunque è bene non abbassare la guardia anche da quel punto di vista, mantenendo sempre alta l'attenzione.

Vulnerabilità dei server

Vulnerabilità dei server

Andando oltre agli scenari che riguardano più che altro le fragilità umane, è sempre bene ricordarsi che anche i siti Web sono composti da file, che vengono generati e gestiti da una serie di programmi in esecuzione su un computer (nel caso specifico, da un server Web).

In genere, un server esegue svariate decine di software contemporaneamente e scambia continuamente dati con il mondo esterno: per questo motivo, è sufficiente un bug in uno degli applicativi in esecuzione per mettere a rischio l'integrità del server stesso, e dei dati che vi vengono ospitati.

In genere, le vulnerabilità più sfruttate riguardano il sistema operativo in esecuzione sul server, i suoi componenti principali o, qualche volta, i driver di periferica dell'hardware. Progettare l'attacco verso un server è però per fortuna abbastanza complesso: per analizzare i software in esecuzione e gli eventuali bug presenti negli stessi, è necessario bypassare le restrizioni di sicurezza imposte dal firewall e degli eventuali meccanismi di protezione aggiuntivi.

Qualora il server dovesse venir effettivamente violato, mediante un exploit o uno 0-day, i cybercriminali potrebbero tuttavia riuscire a forzare l'esecuzione di codice arbitrario, che potrebbe coinvolgere il sito Web ospitato, creare una backdoor dedicata agli accessi futuri, o effettuare altre operazioni di questo tipo. Nei casi più gravi, si potrebbe inoltre assistere a un'autentica fuga di dati.

Come difendersi? Per quanto i bug dei sistemi operativi siano abbastanza frequenti, è anche vero che, nella maggior parte dei casi, gli sviluppatori si impegnano per rilasciare aggiornamenti che possano correggerli tempestivamente. Puoi trovare maggiori dettagli in un successivo capitolo della guida.

Vulnerabilità dei componenti installati

Vulnerabilità dei componenti installati

Lo stesso discorso visto poco fa è valido non soltanto per il sistema operativo a bordo di un server Web, ma anche per tutti gli altri programmi installati sulla macchina.

Un bug in un software qualsiasi (anche nel gestore del database!) potrebbe essere sufficiente per permettere a un criminale informatico di prendere il controllo del programma stesso, dei file/cartelle inerenti il sito Web o, peggio ancora, dell'intero server.

Come difendersi? Anche in questo caso, il mio consiglio è quello di approfondire la seconda parte della guida.

Vulnerabilità dei sistemi di autenticazione e fughe di dati

Vulnerabilità dei sistemi di autenticazione e fughe di dati

Un altro serio problema riguarda i sistemi di autenticazione in uso per i vari siti Web: può capitare che un protocollo obsoleto, un algoritmo di cifratura violato o, ancora, uno scambio di password in modalità non protetta, possa consentire a un criminale informatico di acquisire la proprietà dell'account di amministrazione del portale o, peggio ancora, di tutti i dati presenti sul database e/o nella cartella del sito Web.

Solitamente, questa tecnica d'attacco ha come diretta conseguenza il deface del portale Web, ossia lo stravolgimento completo dei contenuti della pagina principale o delle altre pagine presenti sul sito. Qualora il sistema di gestione del sito consentisse, tramite la relativa interfaccia, di visualizzare i dati salvati in memoria, un criminale potrebbe avere libero accesso anche a questi ultimi.

Come difendersi? In primo luogo, è assolutamente fondamentale proteggere i dati in transito da e per il sito Web con cifratura SSL, configurando il server per l'utilizzo del protocollo di connessione sicura HTTPS. In secondo luogo, qualora il portale contenga pagine di login, è opportuno verificare che esse funzionino in modo corretto e che il relativo codice non dia luogo a eventi inattesi, che potrebbero mettere in pericolo l'integrità del sito.

Infine, naturalmente, occorre proteggere tutti gli accessi al sito con delle password sicure e difficili da indovinare, ma su questo non credo ci sia bisogno di dire molto: dovrebbe essere proprio l'abc della vita sul Web. Altro aspetto da non sottovalutare è inoltre che oggi si sten parlare sempre più spesso di fughe di dati che riguardano database di terze parti (il tutto è noto anche come data breach). Ulteriori informazioni qui.

Altre vulnerabilità

Altre vulnerabilità sito

Al netto dei fronti più importanti a cui prestare attenzione, direi che vale la pena ricordarti che sono molte le tecniche che i cybercriminali possono tentare di mettere in atto in un contesto simile. Questo anche considerando che, specialmente nell'era dell'intelligenza artificiale, la situazione è in continua evoluzione.

Tra le altre situazioni da tenere a mente, è giusto ricordarsi che numerosi siti Web esistenti in Rete vengono realizzati mediante CMS, ossia attraverso dei sistemi che consentono di creare, aggiornare, manipolare e gestire portali semplici e complessi, senza bisogno di scrivere manualmente il codice di ogni singola pagina, ad esempio il famosissimo WordPress.

Anche i CMS sono programmi e, purtroppo, possono essere soggetti a bug e malfunzionamenti di vario tipo. In particolare, i problemi di sicurezza dei CMS open source vengono molto spesso resi noti alla comunità: se ciò, da un lato, aiuta gli sviluppatori a realizzare patch di sicurezza nel modo più rapido ed efficace possibile, dall'altra parte aiuta i criminali informatici a realizzare exploit e 0-day specifici per un dato bug.

Sfortunatamente, questi exploit vengono solitamente utilizzati (con successo) su tutti quei siti realizzati mediante CMS non aggiornati, con tutte le ovvie conseguenze del caso. Se ritieni che il tuo portale possa essere in pericolo, eccolo allora che potresti fare una piccola ricerca in Rete riguardo le vulnerabilità attive. Lo stesso discorso vale per i plugin installati nei vari CMS: un bug all'interno di un componente aggiuntivo potrebbe compromettere la stabilità dell'intero sito e del relativo sistema di gestione, anche se quest'ultimo è, nativamente, esente da bug.

Come difendersi? Anche in questo caso, non posso che consigliarti di consultare i prossimi capitoli del tutorial.

Come non farsi bucare il sito dagli hacker

Ora che sei a conoscenza delle principali minacce di sicurezza in ambito di siti Web, direi che è giunta l'ora di comprendere al meglio come elevare la sicurezza del proprio portale, che come visto passa anche per le persone che ci lavorano (ma non solo).

Formare il personale

Formazione del personale

Una delle questioni più sottovalutate in questo ambito, ma anche in realtà quella che può comportare i maggiori problemi, è relativa alla formazione del personale.

Considerando quanto sono ormai diffuse le tecniche di ingegneria sociale, infatti, è importante che i propri dipendenti e collaboratori, anche quando operano lontani dall'azienda in smart working, siano ben consci di quali sono i principali pericoli del Web. Si tratta, per esempio, a questioni relative al phishing o comunque ad altre situazioni che potrebbero mettere a rischio le credenziali di accesso al sito Web.

Tutti dovrebbero insomma essere a conoscenza innanzitutto di questioni di base come l'evitare di aprire strani link e allegati, evitando di farsi prendere dal “senso d'urgenza” che spesso i cybercriminali tentano di generare in questi contesti. È insomma sempre bene ragionare a mente fredda, evitando di farsi prendere dal panico. In generale, comunque, un personale formato in merito ai principali aspetti di cybersecurity è in grado di fare tutto anche con una maggiore serenità.

La formazione in questo campo sta insomma diventando sempre più importante, dunque potresti considerare di dare un'occhiata, per esempio, al mio approfondimento relativo alle certificazioni più valide in ottica di cybersecurity.

Aggiornare tutti i sistemi

Aggiornare tutti i sistemi

Al netto di informarsi sulle questioni di sicurezza e stare sempre attenti, un'altra questione importante da questo punto di vista è relativa a mantenere aggiornati tutti i sistemi. Come già indicato in un precedente capitolo del tutorial, infatti, possono esserci di mezzo anche vulnerabilità relative al CMS (il sistema di gestione del portale) o come spesso accade dei plugin installati (si pensi, per esempio, a quelli relativi al ben noto WordPress).

Ecco allora che effettuare gli aggiornamenti quando disponibili è importante in uno scenario di questo tipo, dato che non serve esclusivamente ad accedere a nuove funzioni ma anche (e spesso soprattutto) a mantenere il portale il più al sicuro possibile. D'altro canto, un sito Web non aggiornato può essere preso di mira dai cybercriminali che studiano la presenza di falle di sicurezza.

Per ottenere maggiori informazioni su questo scenario e per comprendere ancora meglio perché risulta importante effettuare aggiornamenti, potresti dare un'occhiata alla documentazione ufficiale di WordPress, approfondendo eventualmente anche quel che riguarda gli aggiornamenti automatici.

Controllare i data breach

Controllare i data breach

Andando oltre alle questioni che riguardano formazione del personale e aggiornamento dei sistemi, potresti monitorare la situazione anche per quel che riguarda le fughe di dati (note anche come data breach).

Certo, in questo tipo di scenario i criminali informatici non bucano direttamente un portale, ma tentano di carpire dati sensibili esfiltrandoli dai database delle grandi aziende che operano sul Web. Ecco allora che i dati relativi a qualcuno del team potrebbero malauguratamente finire nelle mani sbagliate, facendo trapelare anche questioni relative all'azienda.

Si fa riferimento, per esempio, alla possibilità che indirizzi e-mail aziendali finiscano sul Dark Web, cosa che potrebbe portare all'arrivo di un maggior numero di comunicazioni false da parte dei malintenzionati. Ecco allora che in questi casi è bene informare il personale dell'accaduto e far prestare a quest'ultimo ancora più attenzione del solito in merito a quanto si riceve. Se necessario, è giusto anche prendere le giuste precauzioni, a partire da una modifica delle password con nuove più sicure. Sappi comunque che puoi scoprire se un'indirizzo e-mail è finito al centro di problematiche di questo tipo utilizzando servizi come Data Leak Checker di Surfshark e Have I Been Pwned.

È bene specificare, però, che il fatto che un'indirizzo e-mail sia finito al centro di una fuga di dati non significa necessariamente che sia stato compromesso, anche perché vale la pena ricordare che i sistemi di protezione che entrano in gioco in questi contesti oggi sono fortunatamente avanzati. Essere a conoscenza di quanto accade in generale, però, può aiutarti a comprendere meglio la situazione e il da farsi. Per ulteriori dettagli sulla questione, puoi comunque consultare le mie guide su come scoprire i data leak in modo gratuito e come proteggersi da un data breach.

Altre situazioni da tenere a mente

Altre situazioni da tenere a mente VPN

Arrivando alla fase conclusiva del post, dopo aver approfondito le questioni di sicurezza principali, direi che vale la pena ricordarti che sono comunque tanti gli aspetti da tenere a mente, soprattutto nel caso in cui tu sia il webmaster. Potresti infatti voler approfondire anche la questione della difesa dagli attacchi DDoS, dando un'occhiata, per esempio, ai consigli di Cloudflare o comunque analizzando al meglio la questione tramite ricerche in Rete. Un'altra fonte a cui dare un'occhiata è Google Search Central, ma se stai gestendo un portale sicuramente conoscerai già tali questioni (nonché quanto relativo a plugin relativi alla sicurezza come BulletProof Security, al protocollo HTTPS e così via).

Per quel che riguarda invece la protezione dei sistemi aziendali utilizzati da dipendenti e collaboratori, potrebbe farti piacere valutare, anche solo per dare dei consigli a questi ultimi, l'utilizzo di avanzate soluzioni antivirus e/o di servizi VPN con funzioni di sicurezza integrate. Potrebbe interessarti dunque dare un'occhiata, per esempio, al popolarissimo NordVPN, dato che quest'ultimo, oltre a occuparsi di proteggere la privacy in ottica di indirizzo IP, integra anche una funzione Threat Protection pensata per evitare il più possibile, per esempio, che vengano scaricati file malevoli. Ecco allora che può trattarsi anche di una soluzione indicata a proteggere il computer dei singoli, così come indicato meglio nella mia recensione di NordVPN.

Altri servizi VPN validi sono poi, per fare degli esempi pratici, Surfshark (che ho anche recensito qui), ExpressVPN (che si fa spesso notare anche per via di promozioni importanti) e PrivadoVPN (che ho anche approfondito qui). Sono diverse, insomma, le soluzioni che puoi ritenere interessanti per mantenere il più al sicuro possibile anche i dispositivi utilizzati dai dipendenti nel quotidiano.

Se ti interessa saperne di più sulla questione, puoi comunque fare riferimento alle mie guide generali relative a come proteggere il PC e come blindare il computer, visto che in quelle sedi son sceso ulteriormente nel dettaglio di situazioni di sicurezza che puoi approfondire.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e ha curato la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.