Shutterstock / VL-PhotoPro
Novità e trend
132

Come identificare 16.000 server attaccati nella rete

Spektrum der Wissenschaft
10.9.2025
Traduzione: tradotto automaticamente

I ricercatori hanno messo fuori circolazione i server compromessi su larga scala. Per farlo, hanno sfruttato le peculiarità di un protocollo internet molto diffuso e hanno battuto gli aggressori al loro stesso gioco.

Uno dei protocolli di rete più utilizzati è «Secure Shell» (ssH). Stabilisce un canale criptato tra client e server che può essere utilizzato per trasferire file in modo sicuro o per la manutenzione e la configurazione dei sistemi da remoto. Un elemento centrale del protocollo sono le cosiddette chiavi pubbliche, che i server utilizzano per autenticare il client - e questo è anche un punto debole. Ad esempio, gli aggressori possono indovinare le password deboli e installare le proprie chiavi ssH. In questo modo hanno accesso permanente al server. E non è tutto: gli utenti legittimi spesso non se ne accorgono, perché la loro password rimane invariata nonostante l'attacco. L'identificazione di questi server compromessi in tutta la rete è estremamente difficile.

La speranza è ora quella di poter accedere ai server in modo permanente.

La speranza è ora riposta in un approccio che utilizza in modo nuovo il protocollo Internet di vecchia data. Un team dell'Istituto Max Planck (MPI) per l'Informatica e dell'Università di Tecnologia di Delft è riuscito a utilizzarlo per identificare i server attaccati su larga scala su Internet. Per farlo, hanno sfruttato una peculiarità del protocollo di autenticazione ssH che spesso viene trascurata. Per autenticarsi, un client deve prima inviare al server la chiave pubblica di una coppia di chiavi pubbliche e private. Il server controlla quindi se questa chiave è disponibile per l'autorizzazione. In questo modo si risparmia potenza di calcolo, poiché il server invia al client una «sfida-risposta», cioè un compito che il client può risolvere solo utilizzando la sua chiave pubblica, se la chiave inviata è effettivamente destinata all'autenticazione.

I ricercatori hanno utilizzato questo meccanismo per identificare i sistemi compromessi. Hanno inviato un totale di 52 chiavi pubbliche di questo tipo, conosciute grazie a precedenti attacchi di gruppi come «teamtnt», «mozi» o «fritzfrog», a tutti i server ssH connessi a internet. Se uno di questi server risponde con una sfida a una delle chiavi, è chiaro che gli aggressori hanno installato la propria chiave nel sistema: il server è stato compromesso.

In totale, la scansione è stata effettuata da un gruppo di persone che hanno avuto l'occasione di accedere a un server di sicurezza.

In totale, le scansioni hanno portato alla luce più di 16.000 server compromessi presso fornitori di servizi di hosting, aziende e istituti di ricerca, molti dei quali erano collegati a infrastrutture note per il malware. Dopo che gli operatori di rete interessati sono stati informati dell'infezione, il numero di host compromessi è diminuito in modo significativo, come hanno dimostrato le indagini di follow-up.

Secondo i ricercatori, il nuovo approccio rende Internet più sicuro in tutto il mondo. Gli aggressori non possono eludere facilmente il rilevamento utilizzando chiavi individuali per ogni sistema compromesso. Secondo Anja Feldmann dell'MPI, questo non è operativamente fattibile sulla scala che richiederebbero le grandi reti di dispositivi controllati a distanza botnet. In questo modo la strategia degli aggressori di ottenere un accesso a lungo termine ai sistemi si trasforma in un segnale affidabile per la difesa.

Spettro della scienza

Siamo partner di Spektrum der Wissenschaft e vogliamo rendere le informazioni fondate più accessibili a te. Segui Spektrum der Wissenschaft se ti piacciono gli articoli.

Articolo originale su Spektrum.de

Immagine di copertina: Shutterstock / VL-PhotoPro

A 13 persone piace questo articolo

User Avatar
User Avatar
Spektrum der Wissenschaft
Wissenschaft aus erster Hand
dirdjaja@spektrum.de

Gli esperti della scienza e della ricerca riferiscono sulle ultime scoperte nei loro campi – competenti, autentiche e comprensibili.

Sicurezza
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
Novità e trend

Dal nuovo iPhone alla resurrezione della moda anni '80. La redazione classifica.

Visualizza tutti

Potrebbero interessarti anche questi articoli

  • Novità e trend

    Legge sulla sicurezza online: la legge sulla protezione dei minori scatena la corsa delle VPN britanniche

    di Florian Bodoky

  • Novità e trend

    Musk-AI Grok fa trapelare conversazioni private online

    di Florian Bodoky

  • Novità e trend

    Si prevede che Hue lancerà presto sul mercato un Bridge Pro molto più potente.

    di Debora Pape

2 commenti

Avatar
later