NMAP (Network Mapper) è un software open-source utilizzato per la scansione della rete e l’audit della sicurezza dell’host. Più che essere utilizzato per lanciare attacchi diretti, è uno strumento più frequentemente utilizzato per identificare potenziali vulnerabilità in una rete o in un sistema che poi potrebbero essere sfruttate in un attacco.
NMAP può essere utilizzato per raccogliere informazioni sulla rete, come la determinazione dei host attivi, la scoperta di porte aperte, il rilevamento del sistema operativo e software in esecuzione, e l’identificazione di filtri e firewall. Questo tipo di informazione può successivamente essere utilizzata come base per un potenziale attacco. Tuttavia, è importante notare che l’uso errato di NMAP può essere considerato illegale o anti-etico, a seconda delle leggi locali e delle politiche aziendali.
Un esempio di come NMAP può essere utilizzato come parte di un attacco proviene da un caso di studio su un attacco di tipo Advanced Persistent Threat (APT) descritto dal Sans Institute (https://www.sans.org/reading-room/whitepapers/detection/paper/33974). In questo caso, gli attaccanti hanno utilizzato NMAP per condurre una scansione della rete e individuare potenziali obiettivi e vulnerabilità. Questo è spesso un passo preliminare per un attacco più ampio.
Un altro esempio può essere visto in un rapporto del United States Computer Emergency Readiness Team (US-CERT) (https://www.us-cert.gov/ncas/current-activity/2017/11/01/AR-17-312A-HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity) in cui NMAP è stato uno degli strumenti utilizzati da agenti di minaccia nordcoreani. Nella fase iniziale dell’attacco, hanno utilizzato NMAP per esplorare la rete bersaglio e identificare le porte aperte.
In conclusione, mentre NMAP può essere utilizzato come parte di un attacco, la sua funzione primaria è quella di uno strumento di scansione della rete e di auditing della sicurezza. Il suo utilizzo per lanciare attacchi è generalmente limitato alla fase di ricognizione di una minaccia più ampia, con l’obiettivo di identificare le opportunità di attacco piuttosto che causare danni direttamente. È fondamentale utilizzare NMAP in modo responsabile e nel rispetto della legge e delle norme etiche.