Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Tecniche di sniffing, dall’analisi delle reti al furto di credenziali: cosa sono e come funzionano

Le tecniche di sniffing vengono solitamente eseguite per analizzare e monitorare il traffico e i problemi di una rete, ma possono essere utilizzate anche in maniera criminale per spiare le attività degli utenti di una LAN e rubare credenziali di accesso. Ecco come funzionano e come difendersi

24 Giu 2019
L

Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Dal punto di vista della sicurezza delle informazioni, le tecniche di sniffing vengono solitamente eseguite per analizzare e monitorare traffico e problemi di rete per scopi di verifica e collaudo.

Tuttavia, possono essere adoperate anche per attività illecite.

Gli sniffer, a prescindere dal loro scopo d’uso, sono uno strumento software/hardware che permette di catturare i pacchetti di rete, interpretarli e memorizzarli per una successiva analisi.

Poiché possono insediarsi ovunque sulla LAN, senza bisogno di essere necessariamente installati su di un host, si rivelano particolarmente pericolosi per la protezione stessa di una rete.

Occorre, dunque, la massima attenzione ed attuare le giuste contromisure di salvaguardia.

Trasmissione dati in rete: il modello ISO/OSI

Per meglio comprendere in cosa consista lo sniffing e come la sicurezza delle trasmissioni e dei relativi dati possano essere ad esso vulnerabili, è utile descrivere, con un esempio, quali siano le logiche di comunicazione di rete come previsto dal modello a livelli dello standard ISO/OSI.

Il paragone che si ritiene sia più appropriato, consiste nel rappresentare la comunicazione tra due host, come una tradizionale corrispondenza epistolare tra due dirigenti che chiameremo rispettivamente dott. Rossi (Ente A) e dott. Bianchi (Ente B).

Quando il dott. Rossi si accinge a pensare alla bozza della lettera da inviare a Bianchi, ci si trova al settimo livello Applicazione del modello ISO/OSI. Si scende al livello sottostante Presentazione nel momento in cui il dott. Rossi definisce con la segreteria il modo in cui scrivere il documento.

La caratteristica del quinto livello Sessione riguarda invece la gestione stessa della lettera, che può essere una risposta o la prima di una serie.

La segreteria, una volta firmato il documento da Rossi, lo consegna all’archivio, che procederà all’invio semplice o con A/R. Questo ultimo passaggio risiede nel quarto livello Trasporto.

Infine, quando l’archivio, con gli indirizzi di destinazione e mittente, consegna la busta al commesso per il deposito in ufficio postale (il secondo livello Link dati), ci troviamo al terzo livello Rete del modello.

Il servizio postale prenderà la busta e con l’indirizzo dell’ente B del dott. Bianchi la porterà a destinazione, attraverso le vie di comunicazione, che costituiscono il livello più basso Fisico del modello di riferimento.

Una volta che la busta sarà arrivata presso l’Ente B, i vari attori omologhi, procedendo in senso inverso dal livello più basso a quello più alto, consegneranno la lettera al proprio dirigente dott. Bianchi.

Risulta evidente come tutti gli attori di questa gerarchia dovrebbero attuare delle misure minime di sicurezza per garantire il buon esito della consegna della missiva, scongiurando l’evenienza che la busta possa venire intercettata durante il suo viaggio oppure che uno degli interlocutori possa essere spiato.

Il modello TCP/IP

Preso atto che la comunicazione in rete segue un approccio a livelli, in cui ogni livello aggiunge un tassello all’attività del livello precedente, vediamo come stanno realmente le cose.

Il paradigma implementativo, che riprende in parte lo standard ISO/OSI, utilizzato su Internet è il TCP/IP che prevede solo 5 livelli (Applicazione, TCP, IP, Data Link, Fisico).

Secondo questo modello ogni dato, suddiviso dall’host in pacchetti su vari livelli, viene inviato all’indirizzo IP del destinatario lungo un percorso con tante stazioni intermedie (router). Ogni pacchetto che si trovi su di un host o che transiti su una di queste stazioni risulta potenzialmente vulnerabile ad una attività di sniffing.

Secondo la logica della matrioska, il pacchetto TCP verrà di volta in volta incapsulato dai livelli sottostanti i quali aggiungeranno un proprio dettaglio (header).

Come si evince dalla figura, nessun livello protocollare può essere considerato immune da un attacco sniffing (da ciascun livello si possono carpire preziose informazioni).

Cosa può essere sniffato

L’acquisizione da parte di uno sniffer di determinati dettagli dati possono rivelarsi propedeutici all’attuazione di successivi attacchi mirati alle vulnerabilità riscontrate.

Ad esempio, attraverso un monitoraggio interno dell’attività dei protocolli di rete utilizzati è possibile generare degli elenchi, quali mappe di indirizzi e porte, liste di tipologie di servizi e credenziali.

Una volta in possesso dei dati necessari l’attaccante può decidere di:

  • effettuare un avvelenamento del protocollo ARP (ARP poisoning);
  • eseguire lo spoofing degli indirizzi IP e degli indirizzi MAC delle interfacce di rete;
  • rubare sessioni TCP tramite hijacking;
  • sferrare attacchi man-in-the-middle (MiTM);
  • violare la privacy di credenziali trasmesse in chiaro (purtroppo viene ancora spesso utilizzato il protocollo HTTP).

Anatomia di uno sniffer

L’algoritmo tipo di uno sniffer può essere così schematizzato:

  1. scelta dell’interfaccia di rete. In questa fase viene scelta un’interfaccia di rete da un elenco di sistema;
  2. preparazione dell’intercettazione dei pacchetti. In questa fase viene impostata la capacità del buffer di raccolta e settata l’interfaccia di rete in modalità monitor (promiscua);
  3. scelta del tipo di traffico da carpire. In questa fase viene impostato ed applicato il tipo di filtro per la cattura dei pacchetti;
  4. scelta dell’operazione da eseguire sui dati intercettati. In questa fase vengono specificati il numero di pacchetti da intercettare ed il task da eseguire su ogni pacchetto;
  5. visualizzazione dei report di analisi. L’ultima fase conclude e memorizza l’attività di analisi in specifici file di log.

Sebbene solo lo sniffing attivo (non stand-alone), generi in rete un particolare tipo di traffico, che può essere interpretato per la sua individuazione, le tecniche di rilevazione possono produrre degli errori di valutazione, generando dei falsi negativi che possono vanificarne l’utilizzo. Risulta allora più efficace una protezione proattiva.

Come proteggere le informazioni dallo sniffing

Neanche lo sniffing applicato su una rete LAN attraverso Internet, piuttosto che dalla stessa rete interna, è un’eventualità da escludere a priori. Infatti, con tecniche di phishing, ingegneria sociale e spoofing se un attaccante riuscisse a impossessarsi delle credenziali amministrative potrebbe insediarsi facilmente sulla stessa rete, ed eseguire operazioni di intercettazione dati dall’esterno.

Di contro, non è altrettanto semplice e scontata l’identificazione stessa di una attività di sniffing e pertanto per contrastarla potrebbe essere più indicato:

  • rendere non intellegibili le informazioni in transito crittografando l’acceso alle pagine web, attraverso l’utilizzo del protocollo HTTPS per le sessioni. Ovviamente, questo accorgimento non garantisce una protezione dei dati prima e dopo le operazioni crittografiche. Infatti, l’integrità e la riservatezza, se i client ed i server, coinvolti nella comunicazione, sono stati già contaminati con un malware, potrebbero essere comunque a rischio;
  • impiegare per la sicurezza della comunicazione le connessioni VPN;
  • segmentare la rete tramite apparati switch. La commutazione di pacchetto riduce infatti sia la visibilità agli altri nodi della rete che il raggio d’azione per il controllo, semplificando così anche le attività di rilevazione.

Purtroppo, anche gli attacchi di sniffing inflitti sul web non possono essere del tutto esclusi. In tali casi vengono colpiti direttamente i dispositivi di rete (router) oppure i server DNS deputati rispettivamente all’instradamento dei pacchetti IP e alla risoluzione dei nomi host in indirizzi IP.

Come proteggere la propria rete dallo sniffing

È bene garantire l’igienizzazione della rete attraverso un monitoraggio pianificato di apparati, dispositivi e mezzi di trasmissione. Allo scopo potrebbe essere utile:

  • prevedere una connessione sicura a livello di rete tramite standard di sicurezza IPSec;
  • prevedere una protezione di sessione a livello di applicazione tramite standard di sicurezza SSL/TLS;
  • prediligere l’impiego di reti cablate, valutando la necessità/beneficio di utilizzare reti wireless ed in caso di forza maggiore prevedere una configurazione Wi-Fi sicura e adeguata;
  • programmare controlli periodici di bonifica.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5