Uno degli attacchi informatici di maggior successo alle reti locali è l’ARP Spoofing.
Gli hacker possono infilarsi nel flusso dei dati e alterarlo a loro vantaggio, avvalendosi delle vulnerabilità del protocollo ARP.
Pertanto, comprendere la dinamica dell’ARP Spoofing può aiutarti a proteggere le reti su cui operi da uno degli attacchi più frequenti e pericolosi.
Quest’articolo discute del protocollo ARP, di come potrebbe essere utilizzato in modo improprio dalla criminalità informatica e delle appropriate contromisure a questa minaccia.
- Una definizione introduttiva
- Che cos’è l’ARP Spoofing
- Quali sono gli strumenti a disposizione della criminalità informatica?
- Come verificare se siamo vittime?
- Misure di prevenzione
Una definizione introduttiva
I dispositivi presenti nella rete LAN non interagiscono immediatamente tramite indirizzi IP come accade su Internet.
Per l’indirizzamento nelle reti locali IPv4 vengono invece utilizzati gli indirizzi MAC (Media Access Control) dell’hardware, prodotti da distinti valori a 48 bit che consentono a ciascun dispositivo della LAN d’identificarsi individualmente attraverso la propria scheda di rete.
Un esempio d’indirizzo MAC è 00-80-41-ae-fd-7e.
Gli indirizzi MAC del mondo sono distribuiti dal fornitore specifico del dispositivo.
In teoria, è possibile la modifica degli indirizzi hardware per abilitare l’indirizzamento globale; tuttavia, questa idea non può essere implementata poiché gli indirizzi IPv4 sono troppo brevi per riflettere accuratamente gli indirizzi MAC.
La risoluzione degli indirizzi tramite ARP è quindi fondamentale nelle reti basate su IPv4.
Ora, se il computer A desidera comunicare con il computer B sulla stessa rete, il computer A deve prima determinare l’indirizzo MAC corretto per poter accedere all’indirizzo IP del computer B. È così che opera l’Address Resolution Protocol (ARP), un protocollo di rete che utilizza un modello di richiesta-risposta.
Il computer sta cercando l’indirizzo MAC corretto.
Una prima richiesta di trasmissione spesso nota come “richiesta ARP“, viene inviata a ogni dispositivo connesso alla rete. I seguenti dettagli sono inclusi approssimativamente in questa richiesta:
L’indirizzo MAC corretto è necessario affinché un computer con l’indirizzo MAC xx-xx-xx-xx-xx-xx e l’indirizzo IP yyy.yyy.yyy.yyy comunichi con un computer con l’indirizzo IP zzz.zzz. zzz.zzz.
Tutti i computer della LAN accettano la richiesta ARP.
Per evitare la necessità d’inviare una richiesta ARP prima dell’invio di ogni pacchetto, ogni computer della rete è connesso a un database locale noto come cache ARP. Qui, insieme all’IP allocato, vengono mantenuti brevemente tutti gli indirizzi MAC conosciuti.
Di conseguenza, nella richiesta di trasmissione, ogni computer della rete annota la coppia d’indirizzi del mittente consegnato. Tuttavia, solo la macchina B è necessaria per fornire una risposta broadcast e lo fa inviando una risposta ARP con i seguenti dati:
Qui si trova il computer con l’indirizzo IP IPzzz.zzz.zzz.zzz. L’indirizzo MAC desiderato è aa-aa-aa-aa-aa.
Il computer A dispone di tutte le informazioni necessarie per trasmettere i pacchetti al computer B se arriva una risposta ARP. Pertanto, non ci sono barriere alla comunicazione attraverso la rete locale. Tuttavia, se un altro dispositivo fosse sotto il controllo di un hacker, quindi risponderebbe invece del ricercato computer di destinazione, avviando un attacco ARP Spoofing.
Che cos’è l’ARP Spoofing
L’ARP Spoofing è un sofisticato metodo di hacking utilizzato per entrare in rete in modo che utente malintenzionato possa esaminare ogni pacchetto di dati che viaggia nella rete locale e quindi manipolarlo fino a quando il traffico non cambia o cessa.
Pertanto, questo è un attacco in cui vengono consegnati pacchetti ARP falsi a una LAN.
Il criminale informatico può farlo collegando il suo indirizzo MAC all’indirizzo IP di un server di rete o PC autorizzato.
Successivamente, inizierà a ricevere tutti i dati immessi tramite l’indirizzo IP per prendere il controllo del flusso di dati.
Di conseguenza, un attacco ARP Spoofing può avere gravi conseguenze per le aziende, quali il furto di dati critici come nomi utente, password, cookie, conversazioni VoIP, e-mail e messaggistica istantanea.
L’ARP Spoofing attualmente viene spesso utilizzato per trasmettere pacchetti ARP falsi o falsificati. Il suo scopo principale da allora è stato quello di collegare l’indirizzo MAC dell’hacker all’indirizzo IP dell’altro nodo preso di mira, impedendo in primo luogo alle informazioni di raggiungere la sua destinazione effettiva. A seconda del tipo di attacco, invece, il criminale sarà colui che inoltra il traffico al gateway predefinito o ne modifica i contenuti.
Quali sono gli strumenti a disposizione della criminalità informatica?
Sebbene sembri controintuitivo, molte delle applicazioni più utilizzate per eseguire attacchi ARP sono disponibili gratuitamente al pubblico.
Sono spesso considerati strumenti di sicurezza per valutare lo stato delle reti di ciascun utente e di difesa da altre frequenti tipologie di attacchi.
A tal proposito, al fine di comprendere meglio gli strumenti primari attualmente in uso per condurre attacchi ARP Spoofing, di seguito discutiamo quelli più utilizzati, evidenziandone le caratteristiche più importanti:
Abele e Caino
Inizialmente è stato creato come software per il recupero di password. Tuttavia, è attualmente uno strumento utilizzato per condurre attacchi di ARP Spoofing poiché offre le utilità necessarie per intercettare le reti e compromettere le chiavi.
Dalla versione 2.5, ha acquisito le funzionalità per lo spoofing che gli consentono d’interiorizzare o acquisire rapidamente traffico IP sulle reti locali. Inoltre, dalla versione 4.0, Cain & Abel ha aggiunto la compatibilità per l’adattatore AirPcap, consentendo la lettura passiva del traffico dati nelle WLAN. Come se non bastasse, la sua versione 4.9.1 permette di prendere di mira le reti wireless protette da WPA.
Ettercap
Quest’applicazione è stata indicata come lo strumento migliore per attacchi ARP automatizzati e operazioni come lo sniffing, la raccolta di termini di occorrenza, ecc. I criminali informatici possono trarne grande vantaggio poiché dimostra la capacità di attaccare le connessioni protette da SSH o SSL e modificare le intercettazioni dati. Ora, va detto che questo programma può essere installato utilizzando alcune impostazioni in più ed è compatibile con Mac OS X, Linux e Windows.
SwitchSniffer
In questo caso ci riferiamo a un software che utilizza l’approccio ARP Spoofing per cercare un host nell’intera LAN.
Poiché può accedere all’host senza essere rilevato dagli host di destinazione, è anche in grado di modificare rapidamente il flusso di dati. Tuttavia, negli attacchi ARP Spoofing è una delle tecniche meno utilizzate. Poiché è shareware, l’utente può utilizzare il prodotto solo per un periodo di tempo limitato per valutarlo gratuitamente.
L’ARP0c/WCI
Si tratta di uno strumento gratuito compatibile con Windows e Linux che può semplicemente interrompere le connessioni all’interno di una rete locale privata avvelenando la tabella ARP.
Per fare ciò, l’applicazione trasmette pacchetti di risposte che sono stati falsificati o modificati e reindirizza il flusso di dati al sistema previsto. D’altra parte, sembra che la sua elevata forza sia il risultato del fatto che contiene un motore bridge integrato che gestisce la trasmissione delle informazioni al sistema bersaglio reale mentre la vittima non è a conoscenza di qualsiasi attività insolita. Inoltre, tutti i pacchetti originali che non vengono consegnati localmente vengono esportati sul router appropriato, rendendo gli attacchi man-in-the-middle non rilevabili.
Avvelenamento
Indubbiamente, questa è una delle applicazioni più popolari per la generazione di pacchetti ARP unici che consentono l’esecuzione di attacchi come il cache poisoning. Per questo motivo, il suo principale vantaggio è la flessibilità con cui è possibile modificare il numero di pacchetti da esaminare e gli intervalli tra di essi.
Inoltre, è in grado di ricercare altri fattori cruciali per garantire che la quantità di pacchetti e la distanza tra di essi siano più appropriati per la rete a cui l’hacker sta tentando di accedere. Va detto che questo strumento, rilasciato sotto GNU, viene impiegato anche nel contesto dell’analisi di rete.
Come verificare se siamo vittime?
Questi attacchi sono tra i più diffusi e, considerato che potrebbero indurre le vittime a credere che l’hacker sia il router della rete locale, è difficile identificarli. Da allora, l’attaccante ha deviato o modificato attivamente il traffico, modificando anche silenziosamente le informazioni a suo favore.
Tuttavia, è possibile affidarsi a diversi strumenti che offrono funzionalità essenziali per determinare se sei stato vittima dell’ARP Spoofing. Una delle soluzioni più note è “Acute”, che si caratterizza come uno strumento in grado di rilevare attivamente l’esistenza di una terza parte su una rete privata. Di conseguenza, shARP è un software basato su bash che è in genere compatibile con la maggior parte dei sistemi operativi basati su Linux.
Questo programma si distingue per due modalità operative:
- Modalità difensiva
protegge l’utente dagli attacchi di spoofing ARP disconnettendosi dalla rete. Questo avviserà gli utenti di cosa sta succedendo tramite gli altoparlanti del sistema, disconnettendoli immediatamente dalla rete per proteggerli. - Modalità offensiva
in questa modalità, il software shARP è responsabile della consegna dei pacchetti di deautenticazione all’hacker che sta conducendo l’attacco, oltre a disconnettere il PC della vittima dalla rete.
Esistono anche strategie aggiuntive che possono essere utilizzate per raccogliere prove di un attacco di spoofing ARP.
Uno di questi è l’uso del protocollo “RARP” o “reverse ARP“, che consente di confermare l’indirizzo IP corrispondente tramite un indirizzo MAC.
Pertanto, se questa query restituisce più indirizzi IP, probabilmente l’indirizzo MAC è stato copiato.
Misure di prevenzione
Concludendo, ci sono diverse misure che dobbiamo prendere per evitare di diventare vittime dell’ARP Spoofing.
Di seguito alcune raccomandazioni:
- Strumenti di monitoraggio
l’utilizzo di tecnologie di monitoraggio per individuare potenziali vulnerabilità del sistema.
Esistono alternative gratuite e open source come arpwatch che ti forniscono il controllo sulle attività della rete.
- Dividere la rete in più segmenti
la rete può anche essere suddivisa in sezioni. Ciò garantisce che se un estraneo tenta un attacco, questo ha un impatto solo su una parte della rete e non sull’intera rete. Ciò, tuttavia, richiede un’implementazione di rete più sofisticata.
- Protocollo per Secure Neighbor Discovery
un altro metodo consiste nell’utilizzare Safe Neighbor Discovery (SEND), che è compatibile solo con i sistemi operativi più recenti.
Gli attacchi di ARP Spoofing sono una delle minacce che potrebbero mettere a rischio la privacy e la sicurezza della nostra rete. Infatti, possono anche avere un impatto sulle organizzazioni e limitare il traffico in entrata.
È fondamentale prendere costantemente precauzioni per preservare la nostra attività.
Alcune considerazioni finali sullo spoofing ARP
Gli attacchi di ARP spoofing rappresentano una minaccia significativa per la sicurezza delle reti informatiche, poiché consentono agli aggressori di intercettare, manipolare o bloccare il traffico tra i dispositivi collegati. In questa analisi, abbiamo discusso l’impatto degli attacchi di spoofing ARP e le possibili misure di mitigazione. In conclusione, è importante sottolineare alcuni punti chiave:
Consapevolezza
È fondamentale che gli utenti e gli amministratori di sistema siano informati sulla natura degli attacchi di ARP spoofing e sulle modalità con cui si manifestano. La formazione e l’educazione sulle minacce informatiche, come l’ARP spoofing, possono aiutare a prevenire incidenti di sicurezza e a mantenere la rete sicura.
Prevenzione
L’implementazione di misure di sicurezza preventive, come l’utilizzo di protocolli di sicurezza come SSH e HTTPS, l’adozione di reti virtuali private (VPN) e l’abilitazione delle funzionalità di sicurezza a livello di switch, può aiutare a ridurre la vulnerabilità agli attacchi di ARP spoofing.
Rilevamento
L’uso di strumenti e software di rilevamento degli attacchi ARP, come Arpwatch, Snort e XArp, può aiutare gli amministratori di sistema a identificare tentativi di ARP spoofing e ad agire tempestivamente per contenere e mitigare gli attacchi.
Monitoraggio della rete
Un monitoraggio costante del traffico della rete e l’analisi delle anomalie possono contribuire a identificare attività sospette e potenziali attacchi ARP. Inoltre, il mantenimento di registri dettagliati delle attività della rete può fornire preziose informazioni per le indagini in caso di incidenti di sicurezza.
Aggiornamenti e patch
Mantenere aggiornati i sistemi operativi, i firmware e le applicazioni è un passo essenziale per proteggersi dalle vulnerabilità note che possono essere sfruttate dagli aggressori per condurre attacchi di ARP spoofing.
In definitiva, gli attacchi di ARP spoofing sono una minaccia persistente per la sicurezza delle reti informatiche.
Tuttavia, con una combinazione di consapevolezza, prevenzione, rilevamento, monitoraggio della rete e applicazione di aggiornamenti, è possibile ridurre significativamente il rischio associato a questi attacchi e garantire un ambiente di rete più sicuro.
- Autore articolo
- Ultimi articoli
Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.
