Lo sniffing è una pratica molto utile per aiutarci a difendere la rete, ma che può diventare pericolosa se usata con cattive intenzioni e per scopi sbagliati.
Nato infatti come sistema per garantire cyber security, nel tempo ha assunto un ruolo diverso rappresentando oggi una minaccia seria per i nostri dati.
Indice dei contenuti
Cosa significa sniffing
Lo sniffing è l’attività di intercettazione dei dati in tempo reale tramite software specifici chiamati sniffer.
Serve per monitorare il traffico di rete e per controllare che tutto funzioni correttamente.
Gli sniffer possono quindi catturare pacchetti di rete, esaminarli e registrarli per analisi future.
Nelle mani sbagliate, però, si rivelano insidiosi strumenti capaci di insinuarsi in rete altrui per rubare dati e informazioni preziose e spiare le attività di rete.
Si possono infatti installare sulla LAN senza bisogno della presenza di un host e accedere a una rete come se ne facesse parte.
Per questo è molto importante dotarsi di tutte le precauzioni per prevenire questo tipo di violazione ed evitare che informazioni riservate – come password o dati di accesso dei conti correnti – vengano carpite da estranei.
Come riescono gli hacker ad inserirsi in una rete?
Sfruttando i punti di accesso più vulnerabili e connessioni WiFi poco sicure, come quelle disponibili in luoghi pubblici come bar o negozi.
Sniffing attivo vs. sniffing passivo
Esistono due diversi tipi di sniffing, che dipendono principalmente dal tipo di rete usata.
- Sniffing attivo: l’hacker si introduce nella rete come se ne facesse parte, acquisendo quindi l’indirizzo IP di un utente e superando tutti i blocchi applicati dagli switch. Si agisce attivamente sui dati modificandoli oppure alterando il flusso con i quali vengono trasmessi.
Con questo tipo di violazione il malintenzionato può fingersi un’altra persona per ottenere informazioni e privilegi, può catturare e ritrasmettere dati, modificare dei messaggi o dei dati di accesso o procedere con un attacco di tipo DDoS, bloccando o sovraccaricando la rete. - Sniffing passivo: si intercettano i dati che transitano nel traffico di una rete senza agire sulle risorse. È un attacco più difficile da rilevare e punta ad osservare e assorbire tutto il traffico presente, includendo anche quello non pertinente e ignorato dal dispositivo che lo riceve. Con questo tipo di violazione l’hacker può intercettare un messaggio – come una mail, una telefonata o una cartella di documenti riservati – oppure analizzare il traffico e dati mascherati con sistemi di difesa.
Tutte le tipologie di sniffer
Lo sniffing nasce innanzitutto come attività per monitorare la rete, per questo gli sniffer sono facilmente reperibili online, sia gratuiti che a pagamento.
Possono essere software o hardware e si dividono in due categorie:
- sniffer commerciali destinati agli amministratori di rete e a chi provvede alla manutenzione
- sniffer più specializzati che offrono molte più funzionalità
Alcuni tool sono prettamente orientati verso la risoluzione dei problemi di rete e altri usi legittimi, come Ethereal, Wireshark e CloudShark.
Soluzioni come Sniffit, BUTTsniffer e Ettercap, invece, sono realizzati per attività di hacking e altri possibili scopi criminali.
Ci sono infine degli sniffer che si limitano a osservare le intestazioni dei pacchetti, come tcpdump e snoop.
Come funziona lo sniffing
Questo tipo di attività segue un processo ben preciso basato su un algoritmo.
Innanzitutto si sceglie, da un elenco di sistema, un’interfaccia di rete, che viene poi settata in modalità monitor.
Da qui si procede preparandosi a intercettare i pacchetti e impostando la capacità del buffer di raccolta.
Si decide a quale porzione di traffico si è interessati e si applica il filtro corretto per raccogliere solo i pacchetti desiderati e nella quantità stabilita.
Si stabiliscono le task da eseguire su ogni pacchetto scegliendo come sfruttare i dati intercettati e infine si stilano dei report: si memorizza così l’attività di analisi e si generano utili file di log.
Come proteggersi
Come abbiamo già anticipato, evitare le reti WiFi poco protette è il primo passo per non rischiare di diventare bersaglio di sniffing.
È molto importante anche dotarsi di reti private virtuali (VPN) che criptano la connessione nascondendo agli hacker tutti i dati inviati.
Poi bisogna navigare sul Web in sicurezza e verificare che le pagine esplorate, soprattutto quando si fanno acquisti online o si inseriscono informazioni riservate, siano sempre HTTPS o contrassegnate dal simbolo del lucchetto.
Si deve stare attenti anche al social engineering e mantenersi vigili per riconoscere tentativi di phishing o truffa.
Dal punto di vista tecnico, invece, ci sono diversi accorgimenti che aiutano a prevenire gli sniffing e altri tipi di violazioni:
- Dotarsi di un antivirus efficace che rilevi ogni potenziale minaccia presente nel sistema.
- Affidarsi ai Firewall, capaci di filtrare tutto il traffico in entrata e in uscita da una rete, analizzando tutti i pacchetti di dati in transito.
- Eseguire regolarmente dei Vulnerability Assessment per verificare che le soluzioni adottate siano adeguate e funzionino.
- Compiere dei Penetration Test per valutare se ci sono falle nel sistema e quanto possono danneggiare l’attività
Cosa fare in caso di sniffing
Accorgersi di essere vittima di sniffing è sempre molto difficile, perché è un tipo di attacco che, per natura, rimane nell’ombra senza rivelarsi.
Ci sono però degli strumenti a cui si può ricorrere: per i meno esperti sono disponibili dei software anti-sniffer specifici, per chi invece ha più competenze specifiche ci sono soluzioni piuttosto efficaci.
Una tecnica utile per capire se si sta subendo una violazione – per esempio – è utilizzare uno sniffer in prima persona e monitorare il traffico DNS: in questo modo si può esaminare e rilevare ogni attività ambigua.
Se effettivamente si individua uno sniffer, bisogna procedere eliminando il software dannoso.
Il modo migliore per farlo è controllando manualmente le app presenti nel dispositivo ed eliminando tutti i file – e le cartelle associate – che non si ricorda di avere installato.
Nel caso fossero impossibili da disinstallare, si possono utilizzare antimalware specifici.
Anche i software per la protezione di rete possono servire per individuare attività di sniffing e altri problemi.
