Gli attacchi sniffing sono una seria minaccia alla privacy e alla sicurezza delle informazioni in rete. È fondamentale implementare misure di sicurezza adeguate e mantenere una vigilanza costante per proteggere i dati sensibili.
Un attacco sniffing è una tecnica di sorveglianza che consiste nel monitorare e catturare i pacchetti di dati in transito su una rete informatica. L’obiettivo di un attacco sniffing può variare da semplice curiosità a intenti criminali come furto di identità, intercettazione di comunicazioni confidenziali o sabotaggio informatico.
Vediamo più nel dettaglio cosa sono, come funzionano, le loro tipologie e come proteggersi.
Cos’è lo Sniffing
Un attacco di sniffing è un’attività di intercettazione passiva che consiste nel catturare pacchetti di dati che transitano in una rete senza che né il mittente né il destinatario ne siano a conoscenza.
Questi attacchi sono perpetrati tramite l’uso di software o hardware specifico per catturare il traffico che passa attraverso la rete. L’attaccante, detto anche “sniffer”, è in grado di leggere, monitorare e catturare pacchetti di dati in transito. Questo può includere intercettazioni di e-mail, dati di autenticazione, sessioni web, e qualsiasi altro tipo di comunicazione.
Come funziona un attacco Sniffing
Gli attacchi sniffing si avvalgono di strumenti software o hardware per ‘ascoltare’ il traffico di rete. In una rete cablata, gli sniffer possono essere installati su qualsiasi dispositivo connesso alla rete. In una rete wireless, gli sniffer possono catturare il traffico radio che passa attraverso l’aria. I dati catturati possono poi essere analizzati per estrarre informazioni sensibili.
Ecco come funziona tipicamente un attacco Sniffing:
1. Selezione del Target: l’attaccante sceglie una rete target su cui eseguire lo sniffing. Questo può essere un segmento di rete aziendale, una rete Wi-Fi pubblica, o qualsiasi altro ambiente di rete che trasmette dati di interesse.
2. Posizionamento dello Sniffer: l’attaccante deve avere accesso fisico o remoto alla rete per poter posizionare uno sniffer. In una rete cablata, potrebbe collegare fisicamente un dispositivo allo switch o al hub. In una rete wireless, potrebbe semplicemente avviare un software sniffer sul proprio laptop o dispositivo mobile.
3. Modalità promiscua: per default, una scheda di rete processa solo i pacchetti indirizzati a essa, ignorando gli altri. Tuttavia, in un attacco sniffing, l’attaccante configura la scheda di rete in modalità promiscua, una modalità operativa che fa sì che la scheda di rete passi all’elaborazione ogni pacchetto che vede, indipendentemente dal destinatario.
4. Cattura del traffico: una volta in modalità promiscua, lo sniffer inizia a catturare tutti i pacchetti di dati che passano attraverso la rete. Questi dati possono includere trasmissioni in chiaro di password, email, informazioni finanziarie, e qualsiasi altro dato trasferito sulla rete.
5. Analisi del traffico: gli sniffer moderni non si limitano a catturare i dati, ma offrono anche funzionalità di analisi. L’attaccante può filtrare il traffico per parole chiave o tipi di dati specifici e può utilizzare varie tecniche per decifrare i dati criptati che potrebbero essere stati intercettati.
Esempi concreti di attacchi sniffing
Intercettare Passwords: Un esempio classico di attacco sniffing è l’intercettazione di username e password. Un attaccante può posizionare uno sniffer in ascolto su una rete non crittografata, come un hotspot Wi-Fi pubblico, e catturare le credenziali di accesso degli utenti che accedono ai loro account. Se un sito web non utilizza HTTPS, le credenziali inviate durante il login sono trasmesse in chiaro e possono essere facilmente lette dall’attaccante.
ARP Spoofing: Questo tipo di attacco si verifica quando un malintenzionato invia messaggi falsificati ARP (Address Resolution Protocol) in una rete locale. Questo può indurre i dispositivi della rete a inviare il traffico verso l’attaccante anziché al gateway legittimo. L’attaccante può quindi catturare, modificare o reindirizzare i dati a sua discrezione.
E-mail Sniffing: Un attaccante può utilizzare tecniche di sniffing per catturare email in transito su una rete. Questo è particolarmente problematico in reti aziendali dove le comunicazioni possono contenere informazioni riservate o proprietarie.
Session Hijacking: Dopo aver catturato i cookies di sessione tramite sniffing, un attaccante potrebbe impersonare un utente legittimo in una sessione web, accedendo così ad aree riservate o effettuando operazioni fraudolente.
Man-in-the-Middle (MitM) Attacks: Gli attacchi MitM spesso iniziano con lo sniffing. Dopo aver intercettato la comunicazione tra due parti, l’attaccante può inserirsi nella conversazione, ricevendo e potenzialmente modificando i dati inviati tra le due parti.
Tipi di Sniffer
Gli attacchi di sniffing possono essere classificati principalmente in base al loro livello di attività e alla loro distribuzione. Di seguito ne evidenziamo alcune, quelle più rilevanti e critiche per le organizzazioni aziendali:
Sniffing Passivo
– Il tipo più semplice e meno invasivo di sniffing.
– L’attaccante cattura il traffico di rete senza alterare o influenzare il flusso dei dati.
– Molto difficile da rilevare poiché non causa anomalie o cambiamenti nel comportamento della rete.
– Può essere utilizzato per raccogliere informazioni in reti non criptate, come le password inviate in chiaro o i dettagli della sessione.
Sniffing Attivo
– Più aggressivo e potenzialmente dannoso rispetto allo sniffing passivo.
– L’attaccante modifica attivamente il flusso del traffico di rete per intercettare più dati. Questo può includere attacchi come ARP spoofing o DNS spoofing.
– Più facile da rilevare a causa delle modifiche apportate alla rete, che possono causare rallentamenti o comportamenti anomali.
– Può essere utilizzato per attacchi di tipo man-in-the-middle, dove l’attaccante intercetta e potenzialmente modifica i dati tra due parti.
Sniffing Distribuito
– Coinvolge l’uso di più sniffer posizionati in punti strategici di una rete.
– Può essere automatizzato tramite l’uso di script o botnet per catturare dati su larga scala.
– Spesso utilizzato in reti di grandi dimensioni per raccogliere una grande quantità di dati.
– Molto efficace per analisi approfondite e per trovare tendenze o pattern nel traffico di rete.
Sniffing Legittimo
– Non tutti gli usi degli sniffer sono malevoli. Gli amministratori di rete utilizzano spesso strumenti di sniffing per monitorare e diagnosticare problemi di rete.
– Lo sniffing legittimo può aiutare a identificare congestioni, usi impropri della rete o configurazioni errate.
– Solitamente, le attività di sniffing legittimo sono ben documentate e comunicate ai potenziali utenti della rete.
Sniffing su Reti Cablate vs. Wireless
– Su reti cablate, gli sniffer devono essere fisicamente connessi alla rete o impiegare tecniche come l’ARP spoofing per intercettare i dati.
– Su reti wireless, gli sniffer possono catturare tutto il traffico radio che passa attraverso l’aria, rendendo lo sniffing più semplice e ampiamente accessibile.
Sniffing Etico
– Una pratica in cui gli esperti di sicurezza utilizzano lo sniffing per valutare le vulnerabilità di una rete e migliorare le misure di difesa.
– Viene eseguito con permesso e nell’ambito di un test di penetrazione o di una valutazione di sicurezza.
ARP Spoofing/Poisoning
– Un tipo di sniffing attivo in cui l’attaccante invia pacchetti ARP contraffatti in una rete, convincendo gli altri dispositivi a inviare il traffico attraverso l’attaccante piuttosto che attraverso il gateway o i dispositivi destinatari legittimi.
Sniffing di Connessioni SSL/TLS
– Una tecnica avanzata in cui l’attaccante cerca di de-crittografare o intercettare comunicazioni protette da SSL/TLS, spesso attraverso attacchi man-in-the-middle o sfruttando configurazioni di sicurezza deboli.
Ciascuno di questi metodi di sniffing può rappresentare diverse minacce alla sicurezza delle reti e richiede specifiche strategie di mitigazione e prevenzione. Ad esempio, lo sniffing passivo può essere contrastato con l’uso sistematico di crittografia, mentre lo sniffing attivo richiede una più robusta configurazione di sicurezza della rete, monitoraggio e rilevamento delle anomalie.
Se vuoi imparare a migliorare la tua postura di cybersecurity
ed allenarti alla protezione continua,
ti aspettiamo il 10 aprile alla Cyber Security Conference 2024
Gli attacchi Sniffer si differenziano anche per il “loro” comportamento (deciso dall’attaccante). Un attacco può essere:
- non intrusivo: gli attacchi di sniffing sono di solito passivi, il che significa che l’attaccante non modifica o interrompe il traffico di rete. Questa natura non intrusiva rende gli attacchi di sniffing difficili da rilevare.
- silenzioso: lo sniffer non introduce traffico aggiuntivo nella rete; quindi, non c’è una firma evidente di attività sospetta.
- selettivo o generalizzato: l’attaccante può scegliere di registrare tutto il traffico di rete o di filtrarlo per catturare solo determinati tipi di dati.
- temporaneo o continuo: l’attacco può essere eseguito per un breve periodo per ottenere le informazioni necessarie o può essere mantenuto per un periodo più lungo per monitorare continuamente la rete.
Come proteggersi da uno “sniffing attack”?
A causa della natura passiva degli attacchi sniffing, la rilevazione è difficile ma non impossibile. La rilevazione di attività sospette come un aumento insolito del traffico o la presenza di dispositivi non autorizzati sulla rete può essere un indizio. Inoltre, l’analisi dei log di rete e l’uso di sistemi IDS possono aiutare a identificare comportamenti anomali che possono suggerire la presenza di uno sniffer.
Per prevenire gli attacchi sniffing, le misure di sicurezza includono l’uso di crittografia end-to-end, reti private virtuali (VPN), protocolli di sicurezza come HTTPS e Wi-Fi Protected Access 2 (WPA2) o WPA3 per reti wireless, e la formazione degli utenti sull’importanza di evitare la trasmissione di dati sensibili su reti non protette. In sostanza, serve dotarsi di:
- Reti sicure: preferire l’uso di reti cablate sicure o reti wireless con crittografia forte (come WPA3).
- VPN: utilizzare reti private virtuali (VPN) per crittografare il traffico, rendendo inutili gli sforzi di sniffing.
- HTTPS: assicurarsi che i siti web utilizzati adottino il protocollo HTTPS, che cripta i dati scambiati tra l’utente e il sito.
- Antisniffing tools: utilizzare strumenti che possono rilevare la presenza di sniffer nella rete.
- Politiche di sicurezza: avere politiche aziendali di sicurezza che includano la regolare scansione delle reti e l’aggiornamento delle infrastrutture.
- Formazione e consapevolezza: educare gli utenti sulla sicurezza informatica e sull’importanza di non inviare informazioni sensibili tramite reti non protette.
Metodi di protezione specifici contro gli attacchi sniffing
- Crittografia End-to-End: Utilizzare protocolli di comunicazione che offrono crittografia end-to-end, come il già menzionato HTTPS per il web, ma anche TLS per l’e-mail e VPN per le connessioni di rete.
- Sicurezza a livello di rete: Implementare reti con segmentazione e sicurezza a livello di accesso, come l’uso di VLAN (Virtual Local Area Networks) con ACL (Access Control Lists) per limitare il traffico a utenti autorizzati.
- Monitoraggio della rete: Utilizzare strumenti IDS (Intrusion Detection Systems) e IPS (Intrusion Prevention Systems) per rilevare e prevenire attività sospette sulla rete.
- Autenticazione forte: Implementare l’autenticazione multi-fattore per ridurre il rischio associato al furto di credenziali di accesso.
Sniffing Rete Locale
Lo sniffing di una rete locale si riferisce al processo di monitoraggio e cattura del traffico di dati che transita su una rete interna, come quella di un ufficio o di uno stabilimento, tramite l’utilizzo di uno sniffer. Questi strumenti possono essere software o dispositivi hardware che, una volta connessi alla rete, sono in grado di intercettare e registrare il traffico in passaggio.
Ecco come avviene lo sniffing in una rete locale:
- Connessione alla Rete Locale: l’attaccante si connette alla rete locale. Questo può avvenire tramite accesso fisico, come il collegamento diretto a un hub o uno switch, o tramite accesso remoto se la rete non è adeguatamente protetta.
- Modalità promiscua: su una rete locale, le schede di rete sono solitamente impostate per ignorare i pacchetti non indirizzati direttamente a loro (modalità non promiscua). Tuttavia, in uno sniffing attacco, l’attaccante configura la sua scheda di rete in modalità promiscua per catturare tutto il traffico che attraversa quella rete.
- Intercettazione dei pacchetti: in una rete locale che utilizza hub, tutti i dati sono trasmessi a ogni dispositivo sulla rete, rendendo semplice l’intercettazione. Con le reti moderne che usano switch, che di solito inviano dati solo al dispositivo destinatario, l’attaccante può utilizzare tecniche come l’ARP poisoning per indurre lo switch a inviare i dati al suo dispositivo.
- Analisi del traffico: lo sniffer raccoglie pacchetti che possono contenere dati sensibili. Questi dati possono essere analizzati per estrarre informazioni utili come credenziali di accesso, messaggi di posta elettronica, transazioni finanziarie e altre comunicazioni.
Per prevenire lo sniffing delle reti locali, è importante:
- usare Switch anziché Hub: gli switch moderni possono ridurre il rischio di sniffing perché inviano i pacchetti direttamente al dispositivo destinatario, a differenza degli hub che li diffondono su tutta la rete.
- segmentazione della rete: creare segmenti di rete separati con VLAN può limitare il traffico che un possibile attaccante può intercettare.
- sicurezza a livello di accesso: implementare l’autenticazione e il controllo di accesso per tutti i dispositivi che si collegano alla rete.
- monitoraggio della rete: utilizzare strumenti di monitoraggio per rilevare comportamenti insoliti che potrebbero indicare la presenza di un attacco di sniffing.
- crittografia: crittografare il traffico di rete per rendere i dati inutilizzabili anche se intercettati.
Implementando queste e altre misure di sicurezza, è possibile ridurre significativamente il rischio di sniffing in una rete locale.
