Lo sniffing è un’attività sistemistica usualmente impiegata per monitorare il traffico dati e controllare il regolare funzionamento di una rete. Tramite strumenti specifici chiamati per l’appunto sniffer è possibile, in tempo reale, intercettare dati per esaminarli, registrarli e stilare report propedeutici per analisi successive. Purtroppo anche gli sniffer, in uso ad attori malevoli, potrebbero rivelarsi insidiosi strumenti utili a carpire dati, informazioni e fare spionaggio di rete. Pertanto dotarsi di tutte le precauzioni necessarie anche contro questo tipo di attività, quando eseguita illecitamente, risulta fondamentale per evitare violazioni ed eventuali compromissioni dei sistemi.
Tipologie e categorie
Premesso che esistono per lo sniffing due diversi tipi di approccio, attivo e passivo a seconda che l’intercettazione agisca attivamente o meno sulle risorse, gli sniffer sono strumenti facilmente reperibili online sia come tool software che come dispositivi hardware. In tutti i casi l’impiego potrebbe essere legittimo nei casi di analisi e risoluzione di problemi di rete richieste e concordate (strumenti usati da tecnici di rete, amministratori di sistema, professionisti della sicurezza informatica) illecito altrimenti e soprattutto se finalizzato per scopi criminali.
Per ovvi motivi, gli sniffer software sono preferiti dagli attaccanti malevoli. Queste applicazioni software possono, infatti, agire indisturbate e nascoste in modo da modificare le impostazioni e le autorizzazioni di un computer per raccogliere e copiare tutti i pacchetti di dati disponibili sulla rete e archiviarli e analizzarli in un secondo momento. Di contro gli sniffer hardware sono gli strumenti più utilizzati usualmente dagli amministratori di sistema. Un dispositivo del genere è costituito da un adattatore speciale che si aggancia alla rete e che raccoglie i dati, li archivia o li invia a un collettore per l’ispezione.
Le funzioni tipiche nel bene e nel male
Le funzioni tipiche degli sniffer per la manutenzione di rete possono essere riassunte sinteticamente in:
- filtraggio dati e pacchetti;
- analisi difetti, qualità e portata della rete;
- creazione di log per analisi ulteriori.
Sebbene, gli sniffer nascano per essere usati solo da tecnici di rete professionisti per monitorare il traffico e fare verifiche, sfortunatamente, come detto, possono essere disponibili anche nelle mani di criminali informatici. In taluni casi l’uso illegale di uno sniffer può comprendere attività di ricognizione di credenziali e informazioni private, registrazione di comunicazioni e-mail e di messaggistica istantanea, frodi e furti di denaro.
Cosa potrebbe accadere
Lo sniffing può essere effettuato illecitamente sia all’interno di una rete LAN che da una WAN. Una volta in possesso dei dati necessari l’attaccante potrà decidere di sferrare ad esempio attacchi MitM. L’intercettazione di una comunicazione tra due nodi avviene così grazie a un terzo nodo intruso che si inserisce nella comunicazione per tracciare informazioni sensibili, credenziali di accesso (e-mail/web) o password wifi. Un risultato del genere può ad esempio essere ottenuto tramite spoofing (falsificazione dell’identità) per accedere a un nodo della rete (un server, un sito web). Altresì, può essere messo in atto a qualunque livello del modello ISO/OSI falsificando ad esempio gli indirizzi MAC e IP delle interfacce di rete con tecniche cosiddette di avvelenamento.
Come proteggersi
Gli sniffer rappresentano un serio rischio sia per le reti che per gli host perchè potrebbero minare la sicurezza e la riservatezza delle comunicazioni all’interno della rete stessa.
Pertanto dal punto di vista del fattore umano, evitare le reti wifi poco protette, dotarsi di reti private virtuali VPN, navigare sul Web in sicurezza e dotarsi di un antivirus e firewall efficaci potrebbero essere condizioni preliminari da soddisfare per non rischiare un attacco di sniffing. Inoltre si dovrebbe prestare attenzione anche ai tentativi di phishing e truffe basati sull’ingegneria sociale.
Infine, dal punto di vista tecnico soprattutto per le aziende una Vulnerability assestement e il penetration testing risultano essere senza dubbio degli ulteriori adempimenti ottimali da compiere.
