Una sessione nulla è un accesso a una rete che utilizza un’identità anonima che consente all’utente di visualizzare un elenco di risorse disponibili sulla rete. Funziona tramite una condivisione nota come comunicazione interprocesso (IPC$) sui computer Windows®. Molti sistemi operativi Windows® sono dotati di sessioni nulle abilitate per impostazione predefinita e alcuni consentono agli utenti di disattivare questa funzione se hanno dubbi sulla sicurezza e non c’è motivo di lasciarla abilitata.
Esistono diversi problemi di sicurezza con una connessione a sessione nulla. Uno è che può consentire a un hacker l’accesso in lettura/scrittura sui computer della rete. Questo può essere utilizzato per inserire codice dannoso e altri materiali su computer senza password. L’hacker può anche prendere l’elenco delle risorse e dei nomi utente generati e tentare di decifrare le password; anche con la protezione tramite password, se l’hacker riesce a capire la password, sarà possibile fare danni durante una sessione nulla.
Sulle reti universitarie, in particolare, le sessioni nulle possono rappresentare una significativa minaccia alla sicurezza e causare problemi al dipartimento di tecnologia dell’informazione (IT). Gli studenti universitari potrebbero non proteggere affatto le proprie risorse o potrebbero utilizzare password ovvie facili da indovinare. Dopo che i computer sono stati infettati da worm, virus e altri materiali, possono infettare l’intera rete, creando un’epidemia di problemi informatici. I computer protetti che contengono dati riservati potrebbero essere collegati alla rete, quindi questo potrebbe portare al rilascio di informazioni private, come i record degli studenti, se un hacker è particolarmente determinato.
La connessione anonima consente a un hacker di spiare le attività che si verificano sulla rete. I membri dello staff della tecnologia dell’informazione (IT) saranno in grado di vedere la sessione nulla se accedono per guardare gli utenti e alcuni sistemi di sicurezza sono impostati per avvisare quando qualcuno sembra che stia scansionando una rete con una tale sessione. Sebbene una sessione nulla possa avere usi validi e del tutto legali, questi potrebbero essere sufficientemente limitati da consentire la configurazione dei computer collegati a una rete per non consentire tali connessioni per motivi di sicurezza.
Ogni sistema operativo utilizza un processo leggermente diverso per disabilitare le sessioni nulle. Gli utenti della rete potrebbero chiedere aiuto ai membri del personale IT. Molti amministratori delle reti di college e uffici, ad esempio, mantengono una guida in linea alle attività di rete comuni, inclusa la disabilitazione delle sessioni nulle. Se gli utenti non si sentono a proprio agio in questa operazione, possono chiedere a qualcuno nel reparto IT di configurare il proprio computer per affrontare questo potenziale exploit di sicurezza.