L’acquisizione di banner è un’attività utilizzata per determinare le informazioni sui servizi in esecuzione su un computer remoto. Questa tecnica può essere utile agli amministratori nella catalogazione dei propri sistemi e gli hacker etici possono utilizzarla anche durante i test di penetrazione. Gli hacker malintenzionati utilizzano anche l’acquisizione di banner, poiché la tecnica può rivelare informazioni compromettenti sui servizi in esecuzione su un sistema. La tecnica funziona utilizzando Telnet, o un programma proprietario, per stabilire una connessione con una macchina remota, dopo di che viene inviata una richiesta errata. Ciò farà sì che un host vulnerabile risponda con un messaggio banner, che potrebbe contenere informazioni che un hacker potrebbe utilizzare per compromettere ulteriormente un sistema.
In un contesto di reti di computer, il termine banner si riferisce tipicamente a un messaggio che un servizio trasmette quando un altro programma si connette ad esso. I banner predefiniti sono spesso costituiti da informazioni su un servizio, come il numero di versione. Il banner per un servizio HTTP (Hypertext Transfer Protocol) mostrerà in genere il tipo di software del server, il numero di versione, l’ultima modifica e altre informazioni simili. Quando un programma come Telnet viene utilizzato per raccogliere intenzionalmente queste informazioni, di solito si parla di cattura banner.
Alcuni tipi diversi di software, inclusi Telnet e vari programmi proprietari, possono essere utilizzati per eseguire l’acquisizione di banner. Telnet è un tipo di protocollo di rete utilizzato per stabilire una connessione terminale virtuale con un host remoto. La maggior parte dei sistemi operativi (SO) viene fornita con la capacità di stabilire sessioni Telnet, quindi questo è uno dei modi principali in cui viene eseguita la cattura dei banner. Sia che si utilizzi Telnet o un altro programma, i banner vengono acquisiti collegandosi a un host e quindi inviando una richiesta a una porta associata a un particolare servizio, come la porta 80 per HTTP.
Uno degli scopi dell’acquisizione dei banner è l’amministrazione del sistema, nel qual caso può essere utile per il fingerprinting HTTP e altre attività. Un amministratore può anche utilizzare la tecnica per eseguire un inventario su tutti i diversi servizi e sistemi che operano sull’host di cui è responsabile. Di solito stabilisce una connessione Telnet con l’host, quindi interroga ogni porta e cataloga i risultati. Gli hacker white hat possono utilizzare la tecnica anche durante la fase di pianificazione di un test di penetrazione.
Gli hacker malintenzionati usano spesso anche l’acquisizione di banner quando cercano host vulnerabili. In genere stabiliscono una connessione con un host, quindi interrogano le porte alla ricerca di servizi vulnerabili. Poiché i banner predefiniti spesso includono il tipo e la versione del software del server, è possibile identificare i servizi con exploit noti. L’hacker può quindi utilizzare tali exploit per eseguire ulteriori attacchi.