Cos’è lo sniffing

Tipi di sniffing

Esistono due tipi di sniffing:

• sniffing passivo: nelle reti che utilizzano degli hub per collegare tra loro i vari dispositivi, il traffico viene a tutti gli effetti fatto circolare in tutti i dispositivi, i quali ignorano poi i dati che non interessano. In questa situazione, uno sniffer posizionato in un punto qualsiasi della rete può avere passivamente accesso a tutto il traffico.
• sniffing attivo: nelle reti di grandi dimensioni vengono usati degli switch per poter smistare il traffico in modo che venga fatto circolare solo nei dispositivi interessati. Per poter intercettare il traffico, quindi, lo sniffer deve agire a livello dello switch, in modo da superare i vincoli imposti per lo smistamento e poter così accedere ai dati.

Utilizzando uno sniffer è possibile eseguire diversi tipi di attacchi.

Chiamato anche DNS cache poisoning, questo tipo di attacco prevede la modifica dei DNS contenuti nella cache della rete in modo da reindirizzare la richiesta dell’utente a un sito Web malevolo. Questo sito può quindi essere utilizzato, ad esempio, per operazioni di phishing, oppure semplicemente può servire per impossessarsi di password e informazioni personali.

Questo attacco, letteralmente “attacco del gemello cattivo”, consiste nel creare un access point wireless che utilizza lo stesso DNS del computer dell’utente, in modo che la rete lo riconosca come legittimo. Una volta accettato nella rete, il “gemello cattivo” è in grado di intercettare il traffico destinato all’utente e quindi a impossessarsi di tutte le sue informazioni personali.

Per eseguire questo tipo di attacco, un hacker assegna allo sniffer lo stesso indirizzo MAC del computer dell’utente, in modo da potersi connettere alla rete ed essere riconosciuto senza problemi. In questo modo, tutto il traffico destinato all’utente viene inviato allo sniffer.

Questo tipo di attacco prevede l’invio allo switch di pacchetti dati in grado di riempire completamente la memoria CAM dello switch, rendendo impossibile lo smistamento adeguato del traffico. Non potendo operare correttamente, lo switch passa in modalità fail open e smette di smistare il traffico, inviando i dati a tutti i dispositivi connessi alla rete. In pratica, comincia a comportarsi come un hub. La rete così configurata diventa quindi vulnerabile a uno sniffer passivo.

Lo sniffing non è utilizzato soltanto per impossessarsi in modo illecito dei dati degli utenti. Ci sono molti casi in cui uno sniffer può essere utilizzato per scopi legittimi.

• Tecnici di rete: i tecnici che si occupano di gestire l’infrastruttura di rete utilizzano spesso degli sniffer per analizzare il traffico che passa attraverso la rete. In questo modo possono ottimizzare il flusso dei dati, potenziale alcuni nodi o fare altre scelte per migliorare l’esperienza degli utenti, basandosi interamente sul modo in cui la rete viene utilizzata.
• Amministratori di rete: nelle reti aziendali si creano spesso problemi che rallentano o interrompono la comunicazione tra i dispositivi collegati. Grazie a uno sniffer, gli amministratori sono in grado di risalire ai nodi responsabili dei rallentamenti e di intervenire per correggere gli errori.
• Dipendenti di un’azienda: nelle reti aziendali molto spesso vengono utilizzati degli sniffer per monitorare l’attività dei dipendenti quando si trovano al lavoro. Questo permette di controllarne la produttività ed eventualmente prendere provvedimenti interni nel caso di usi che si discostino dalle attività previste dal loro ruolo.
• Esperti di sicurezza: uno sniffer può essere molto utile nel riconoscere traffico non coerente con l’uso abituale della rete. Può infatti aiutare nell’individuare la presenza di virus, malware o di altri sniffer posizionati da hacker.

Gli sniffer sono, per loro natura, molto difficili da individuare. Quando uno sniffer è presente in una rete Wi-Fi ma non sul proprio computer, è quasi impossibile accorgersene, a meno di rivolgersi a dei professionisti del settore o di ricorrere a operazioni piuttosto complesse che richiedono buone competenze tecniche.

Ci sono però alcuni aspetti a cui bisogna prestare attenzione per controllare se è presente uno sniffer all’interno del proprio computer. Se monitorando le attività del sistema operativo si notano processi attivi sconosciuti, potrebbe trattarsi di uno sniffer in azione. Anche un’improvvisa riduzione dello spazio su disco potrebbe essere indice della presenza di uno sniffer.

Come abbiamo visto, lo sniffing è una tecnica insidiosa che può fare molti danni senza che l’utente se ne renda conto. Quando ci si accorge di essere stati vittima di sniffing è generalmente troppo tardi. Ci sono però diversi modi per cercare di proteggersi da questo tipo di attacchi.

Spesso gli hacker usano virus e malware per installare uno sniffer sui computer delle loro vittime. Utilizzare un valido strumento che protegga da queste minacce è sufficiente a evitare attacchi di sniffing eseguiti dal proprio computer, ma non si è protetti da eventuali sniffer presenti sulla rete locale.

Una VPN è in grado di nascondere l’indirizzo IP degli utenti e di criptare il traffico. Non è tecnicamente in grado di evitare gli attacchi di sniffing, ma se i dati intercettati sono crittografati, gli hacker non potranno farne uso. Una volta installata una VPN, per essere sicuri di essere completamente protetti è sufficiente verificare quale indirizzo IP venga visto all’esterno della propria rete locale. Molti provider permettono di eseguire questa operazione semplicemente accedendo a una funzionalità apposita della VPN, chiamata solitamente “mio IP” o “qual è il mio IP”. Per essere ancora più sicuri, si può ricorrere a NordVPN e alla sua Threat Protection: si tratta di una funzionalità progettata per bloccare automaticamente i cookie di tracciamento e per rilevare il malware prima che venga scaricato e installato, in modo da rendere i propri dati ancora più protetti.

Individuare uno sniffer presente su una rete Wi-Fi è molto difficile, quasi impossibile. Utilizzare reti pubbliche, su cui non si ha alcun controllo e di cui non si può essere sicuri, è quindi un rischio che andrebbe evitato. Se proprio non dovesse essere possibile farne a meno, sarebbe almeno consigliabile utilizzare una VPN per proteggere i propri dati.

I siti che utilizzano il protocollo HTTPS, riconoscibili dall’indirizzo che inizia con https:// o da un’icona a forma di lucchetto, garantiscono la sicurezza della navigazione e la protezione dei dati. Quando si visitano questi siti, quindi, si può essere ragionevolmente sicuri che non si subirà alcun attacco di sniffing. I siti che utilizzano il vecchio protocollo HTTP, invece, sono vulnerabili a questo tipo di attacchi.

Anche se può sembrare che le app di messaggistica non possano presentare rischi per la sicurezza, in realtà è piuttosto comune per gli hacker sfruttare messaggi non criptati per inviare sniffer agli utenti senza che questi se ne rendano conto. È quindi preferibile usare quei servizi che garantiscono la crittografia end-to-end, impedendo così l’intromissione da parte di malintenzionati.