Co to jest sniffing?

Sniffing – co to jest?

Jedną z technik pozyskiwania cennych informacji wykorzystywanych przez cyberprzestępców jest sniffing, znany także pod nazwami eavesdropping i snooping. Atak polega na „podsłuchiwaniu”, a więc przechwytywaniu pakietów danych wędrujących przez sieć. Sniffing nie zawsze służy czynieniu szkód – dostawcy usług internetowych i administratorzy także mogą podsłuchiwać ruch sieciowy, by móc go przeanalizować, a następnie zapobiec błędom bądź naprawić te istniejące.

Hakerzy także często posługują się sniffingiem. Metoda poniekąd przypomina techniki znane z filmów szpiegowskich – podkładanie podsłuchów czy przyklejanie urządzeń monitorujących do telefonów. Rozwój technologii sprawił jednak, że przestępcy wykorzystują o wiele bardziej zaawansowany sniffing. Informatyka udostępnia liczne narzędzia, dzięki którym hakerzy są w stanie zakładać wirtualne „podsłuchy” i przechwytywać wrażliwe dane swoich ofiar.

Jednym z najpopularniejszych ataków powiązanych ze sniffingiem jest atak man-in-the-middle (ang. człowiek pośrodku), w którym to haker przejmuje dane wysyłane przez użytkownika i przekazuje je docelowemu odbiorcy tak, by ofiara nie zorientowała się, że wysyłane przez nią informacje przechodzą przez ręce „pośrednika”. Sniffing jest w stanie posłużyć do kradzieży wszelkich niezaszyfrowanych i poufnych danych, a więc:

• ruchu sieciowego,
• wiadomości mailowych,
• haseł,
• ruchu związanego z serwerami DNS,
• ustawień routera.

Jak działa sniffing?

By zrozumieć działanie sniffingu, warto najpierw dowiedzieć się, jak wygląda przesyłanie danych przez Internet. Wszystkie informacje, które wysyłasz, są dzielone na mniejsze pakiety danych, które są wysyłane przez Twoje urządzenie. Paczki są „składane” w całość dopiero po dotarciu do docelowego odbiorcy. Każdy pakiet wędrujący przez Internet ma do pokonania długą trasę – przechodzi przez liczne routery i switche, by w końcu dotrzeć na miejsce. Są to jednak newralgiczne punkty – źle zabezpieczone i zaatakowane przez hakera mogą zostać podsłuchane.

Rodzaje ataków sniffingowych

• Pasywny sniffing. Haker posługujący się tym rodzajem sniffingu nie musi zbyt wiele robić, by uzyskać dostęp do cudzych danych. Pasywny sniffing działa szczególnie dobrze w przypadku sieci, które są ze sobą połączone za pomocą koncentratorów. Te są jednak stopniowo wycofywane i zastępowane switchami, dlatego metoda staje się coraz mniej opłacalna.
• Aktywny sniffing. Polega na „bombardowaniu” pamięci asocjacyjnej switcha (CAM). Pamięć asocjacyjna odpowiada za przechowywanie adresów MAC urządzeń podłączonych do sieci oraz powiązanych z nimi numerów portów i jest niezbędna do tego, by kierować przechodzące przez switch pakiety do odpowiednich odbiorców. Gdy switch jest atakowany, przechodzące przez niego dane mogą zostać skierowane do innych portów, które są kontrolowane przez hakera. Informacje są wtedy przechwytywane przez osobę trzecią.

Jak rozpoznać atak sniffingowy?

Nie zawsze łatwo jest wykryć szkodnika, jakim jest sniffer. Co to takiego? To urządzenie albo program komputerowy stworzony wyłącznie po to, by podsłuchiwać ruch sieciowy. Sniffery mogą być instalowane na komputerach, a także routerach i innych urządzeniach sieciowych. Zauważenie aktywnego sniffingu bywa możliwe – zazwyczaj, gdy dochodzi do podsłuchiwania ruchu sieciowego, łącze internetowe staje się powolne.

Warto pamiętać o tym, że sniffing nie dotyczy wyłącznie komputerów, ale wszystkich urządzeń połączonych z Internetem. Kogo może zaatakować sniffer? Android, iOS, Windows, Linux – nie ma znaczenia, z jakiego systemu operacyjnego korzystasz, jeśli haker włamał się do sieci, a nie konkretnego urządzenia.

Twój sprzęt nie musi być od razu zainfekowany złośliwym oprogramowaniem, by wysyłane przez niego dane dostały się w ręce przestępcy, ale istnieją wirusy pełniące funkcje snifferów. Wystarczy, że złośliwy network sniffer zainfekuje jedno urządzenie w zamkniętej sieci (na przykład firmowej), by haker miał dostęp do wielu cennych informacji.

Sniffer plików wysyłanych w sieci jest trudny do wykrycia. Wymaga to dość zaawansowanej wiedzy informatycznej. Najczęściej konieczne jest przeprowadzenie testów ruchu DNS przez administratorów. Zdecydowanie łatwiejsze jest zabezpieczenie się zawczasu.

Jak zapobiec atakom sniffingowym?

• Unikaj używania publicznych hotspotów Wi-Fi. Sniffer Wi-Fi to najczęściej spotykany rodzaj programu szpiegującego. Można spotkać się z nim w kiepsko zabezpieczonych publicznych sieciach. Słabo chronione sieci są idealnym środowiskiem do przeprowadzania ataków Man-in-the-middle, więc jeśli koniecznie musisz skorzystać z hotspota w kawiarni czy markecie, skorzystaj z usługi VPN, która zaszyfruje Twoje dane – dzięki temu będą bezużyteczne, jeśli dostaną się w ręce hakera.
• Nie wchodź w podejrzane odnośniki. Istnieją sposoby na nakłonienie kogoś, by kliknął link pozyskujący jego dane. IP sniffer jest tego przykładem. Osoba, która wejdzie w link przekierowujący do IP sniffera, przekaże swój adres IP twórcy odnośnika. Nie wiesz, jak rozpoznać potencjalnie szkodliwy link? Funkcja Threat Protection zawarta w pakiecie NordVPN blokuje złośliwe witryny internetowe i zmniejsza ryzyko ich przypadkowego odwiedzenia.
• Korzystaj wyłącznie z bezpiecznych i szyfrowanych komunikatorów i serwisów pocztowych. Wysyłanie prywatnych wiadomości (często zawierających poufne dane) za pomocą nieszyfrowanych komunikatorów to nie najlepszy pomysł. Zadbaj o to, by platformy, dzięki którym się komunikujesz, były bezpieczne i wykorzystywały zaawansowane szyfrowanie.
• Uważaj na adresy stron. Gdy odwiedzasz witrynę internetową, sprawdź, czy jej adres rozpoczyna się przedrostkiem HTTPS lub HTTP. Świadczy on o tym, że strona posiada certyfikat SSL/TLS, a więc jest autentyczna, a przesyłane dane są szyfrowane.
• Poproś kogoś o przeprowadzenie skanu firmowej sieci. Administratorzy oraz zespoły odpowiadające za bezpieczeństwo firmowych sieci mogą je skanować, by w porę wykryć potencjalne zagrożenia. Jeśli masz taką możliwość – poproś dział cyberbezpieczeństwa o zwrócenie uwagi na podejrzane aktywności.