L'attacco attivo è un tipo di attacco informatico in cui l'attaccante cerca attivamente di compromettere un sistema o una rete di computer sfruttando le vulnerabilità o introducendo codice dannoso. È diverso dall'attacco passivo, che prevede la raccolta di informazioni all'insaputa dell'obiettivo. Gli attacchi attivi sono solitamente più distruttivi, in quanto possono portare alla distruzione o alla modifica di dati o all'accesso non autorizzato a informazioni riservate.
Gli attacchi attivi possono essere classificati a grandi linee in tre tipi: attacchi denial of service (DoS), attacchi man-in-the-middle (MITM) e attacchi di buffer overflow. Gli attacchi DoS sono tentativi di rendere indisponibile un sistema o una rete inondandola di traffico o di codice dannoso. Gli attacchi MITM comportano l'intercettazione delle comunicazioni tra due sistemi, consentendo all'attaccante di origliare o modificare i dati in transito. Gli attacchi di buffer overflow si verificano quando un attaccante invia una quantità di dati superiore a quella che il sistema bersaglio può gestire, con conseguente sovrascrittura dei dati nella memoria del sistema.
Esempi di attacchi attivi includono gli attacchi DDoS (Distributed Denial of Service), che prevedono l'invio da parte di più aggressori di grandi quantità di traffico a un sistema bersaglio, e gli attacchi di phishing, che prevedono l'uso di tecniche di ingegneria sociale per indurre le vittime a fornire informazioni riservate o a scaricare software dannoso. Altri esempi sono il cracking di password, l'iniezione di SQL e gli exploit zero-day.
Gli attacchi attivi possono avere gravi conseguenze, come la distruzione o la modifica dei dati, l'accesso non autorizzato a informazioni riservate e l'interruzione dei servizi. Inoltre, gli attacchi attivi possono essere utilizzati per lanciare attacchi più sofisticati, come ransomware e furto di dati.
Le organizzazioni possono proteggersi dagli attacchi attivi implementando misure di sicurezza efficaci, come l'applicazione regolare di patch al software e la manutenzione di soluzioni antimalware e antivirus aggiornate. Inoltre, gli amministratori dovrebbero monitorare il traffico di rete alla ricerca di attività sospette e implementare misure di autenticazione forti per proteggere dal furto di credenziali.
Il monitoraggio del traffico di rete può aiutare le organizzazioni a rilevare gli attacchi attivi. Inoltre, le organizzazioni dovrebbero implementare sistemi di rilevamento delle intrusioni (IDS) e sistemi di prevenzione delle intrusioni (IPS) per rilevare e bloccare il traffico dannoso. Gli amministratori di rete dovrebbero anche distribuire honeypots per rilevare attività dannose e comprendere le tattiche, le tecniche e le procedure dell'attaccante.
Se un'organizzazione rileva un attacco attivo, deve adottare misure immediate per fermare l'attacco e proteggere i propri sistemi. Ciò può includere la disconnessione dei sistemi colpiti dalla rete e il loro isolamento fino a quando l'attacco non sia stato contenuto. Inoltre, le organizzazioni dovrebbero creare un piano dettagliato di risposta agli incidenti per garantire una risposta coordinata in caso di attacco.
Le organizzazioni devono seguire le best practice del settore quando si tratta di prevenire e rispondere agli attacchi attivi. Ciò include l'implementazione di un approccio alla sicurezza a più livelli, con più livelli di difesa, come firewall, soluzioni antivirus e strumenti di monitoraggio della rete. Inoltre, le organizzazioni devono assicurarsi che tutti i sistemi siano regolarmente patchati e aggiornare le politiche di sicurezza in base all'emergere di nuove minacce.
Gli attacchi passivi sono quelli in cui un aggressore origlia le comunicazioni ma non le modifica. Gli attacchi attivi sono quelli in cui un aggressore non solo origlia, ma modifica o inietta dati nelle comunicazioni.
Un attacco passivo è quello in cui un aggressore origlia le comunicazioni di una vittima, ma non le modifica. In genere, l'aggressore non interagisce direttamente con la vittima, ma si affida a metodi indiretti per raccogliere informazioni. Ad esempio, un aggressore potrebbe utilizzare un packet sniffer per catturare dati sensibili trasmessi su una rete.
Un attacco passivo è un attacco in cui un aggressore ottiene l'accesso alle informazioni senza alterare le risorse o i dati del sistema. Esempi di attacchi passivi sono l'intercettazione del traffico di rete, l'intercettazione dei messaggi di posta elettronica e la visualizzazione dei file su un'unità di rete condivisa.
Gli attacchi di sicurezza attivi sono quelli in cui un aggressore tenta di accedere a un sistema o a una rete per causare danni. Gli attacchi di sicurezza passivi sono quelli in cui un aggressore monitora un sistema o una rete alla ricerca di informazioni che possono essere utilizzate per causare danni.
Gli attacchi attivi sono quelli in cui un aggressore tenta di alterare o distruggere i dati o di interrompere in altro modo il normale funzionamento del sistema. Un classico esempio di attacco attivo è il denial of service (DoS), in cui un attaccante tenta deliberatamente di sovraccaricare un sistema:
tenta di sovraccaricare un sistema di richieste per impedire agli utenti legittimi di accedervi. Un altro esempio di attacco attivo è la modifica dei dati, in cui un aggressore altera i dati in transito per corromperli o interromperne il normale funzionamento.