I fini di un attacco informatico sono legati ai seguenti obiettivi:
- ottenere accesso non autorizzato ad informazioni residenti sul server o su un dato singolo programma e/o modificarle;
- identificarsi come altro utente in una transazione, in uno scambio dati o internamente ad un programma;
- modifica di servizi o DoS (Denial of Service, interruzione del funzionamento) del server o di un singolo programma;
- utilizzare il server Web come "trampolino di lancio" per l'attacco alla rete aziendale interna;
- fama del cracker.
La logica sulla quale si basa un'intrusione informatica (da remoto) è sfruttare falle nella sicurezza e/o password di login deboli di servizi/programmi in ascolto, del sistema operativo o dei dispositivi di rete, al fine di ottenere un primo accesso al sistema.
Successivamente il cracker tenterà di "scalare i privilegi", cioè di ottenere l'accesso al sistema in qualità di root: tramite accesso remoto (via connessione di rete) si è quindi ottenuto l'accesso locale (via shell di comandi) completo alla macchina.
Il cracker infine coprirà le sue tracce, eliminando i file di log e probabilmente installerà qualche programma trojan per un futuro accesso o attacco. Quanto descritto viene portato a compimento, metodicamente, attraverso più fasi distinte e ben definite, che qui riassumiamo brevemente per comodità.
Footprinting
L'aggressore ricostruisce il profilo dell'organizzazione obiettivo (indirizzi IP pubblici, rete e lista dei contatti interni). Ciò è reso possibile da ricerche nella stessa Internet e tramite tracerouting.
Scansione
Viene fatta una lista dei servizi ed identificato il sistema operativo in uso attraverso la rilevazione delle porte TCP ed UDP aperte (ovvero sui cui ascoltano i servizi attivi) sul/i bersaglio/i. Il principale strumento in questo caso è Nmap, che restituirà appunto la lista dei servizi (presunti) in ascolto (servizi RPC compresi).
Enumerazione
Vengono cercate informazioni inerenti l'esatta versione dei servizi in ascolto (semplicemente connettendosi ad essi tramite telnet o netcat o con lo stesso Nmap) e le condivisioni di rete, FTP, VNC, e simili.