sniffing informatica

Sniffing

In informatica, l’attività di sniffing coinvolge tutti i processi di intercettazione delle informazioni.
Ma nello specifico, di che cosa si tratta?

Nell’era delle comunicazioni, il furto di dati rappresenta un tema caldo. Oggi parliamo però di una delle tecniche di sniffing o altresì detto: l’arte dell’intercettazione.

Utilizzato

Indice degli argomenti

  1. Sniffing: di che cosa si tratta

  2. Chi è lo sniffer

  3. Tipi di sniffing

  4. Qual è l’obiettivo dell’attacco?

  5. Come si svolge un attacco sniffer

  6. Come difendersi dagli attacchi sniffing

Di che cosa si tratta?

Parliamo di sniffing

Come sempre, i termini informatici in inglese possono confonderci le idee, ecco per quale motivo abbiamo deciso di scrivere un articolo interamente dedicato a sniffer e in generale all’attività di sniffing.

Se ancora non sapete di che cosa si tratta e tanto meno perché si parli così tanto di questa minaccia, ecco che siamo pronti a venire in vostro soccorso.

Sniffing, in italiano viene tradotto come captare. Nel gergo informatico questo termine fa riferimento all’attività di intercettazione di comunicazioni e informazioni che viaggiano all’interno di una rete. Normalmente nei casi di sniffing, l’attività di intercettazione viene svolta da un applicativo o software anche comunemente chiamato sniffer.

In realtà, lo sniffing non ha sempre un’accezione negativa. Anzi, per attività sniffing s’intende proprio attività di monitoraggio e analisi di rete a scopo di controllo e collaudo.

Tuttavia, quest’attività viene impiegata dagli hacker per instaurarsi nella rete delle vittime per rubare dati e informazioni.

Ma la vera domanda è: come riescono gli hacker ad introdursi in rete per fare dello sniffing?

Ne parliamo insieme.

sniffer

Sniffer, che cos’è

Sniffer e Sniffing sono due cose diverse.

Come vi abbiamo già precedentemente sottolineato, lo sniffer è un’applicazione o per meglio dire, un software. Infatti, i software sniffer possono anche essere utilizzati all’interno di una rete per effettuare controlli o attività di monitoraggio del traffico di rete.

Eppure, vista la loro principale caratteristica e il loro utilizzo, gli sniffer vengono spesso adocchiati anche dagli hacker ovviamente a scopo puramente illegale. Infatti, la presenza di uno sniffer a bordo di un dispositivo consente ad un attaccante di infiltrarsi all’interno di una rete locale per la sottrazione di tutte le informazioni di suo interesse.

A conferma di quanto stiamo dicendo, citeremo un esempio verificatosi due anni fa e che riguarda

Sniffer di WhatsApp

Parliamo anche in questo caso di un applicativo sviluppato on tanto per spiare le informazioni che transitano in rete, quando più per intercettare i messaggi all’interno delle app di messaggistica istantanea. Ecco il caso di WhatsApp Sniffer.

Prima dell’arrivo della crittografia end-to-end (predisposta dalla casa madre dell’applicazione nel 2016), WhatsApp era minacciata da un’applicazione che intercettava il traffico dati di tutti i dispositivi connessi ad una rete. Nella fattispecie, questa possibilità si presentava nel caso in cui la rete da attaccare fosse un Wi-Fi pubblico di un ristorante, di una biblioteca, di un cinema o peggio, di un’intera piazza. La quantità di utenti connessa a queste reti è sempre alta e l’applicazione WhatsApp Sniffer era perfettamente in grado di interporsi in questo meccanismo per decifrare il contenuto dei messaggi che venivano scambiati.

Oggi, quest’applicazione non può più essere impiegata dagli hacker grazie all’introduzione di nuove misure di sicurezza da parte di WhatsApp stessa. Tuttavia, dobbiamo dirvelo, ancora oggi esistono diverse di app di sniffing che non agiscono a livello di applicazione ma direttamente attaccando lo smartphone. Per questo motivo, consigliamo di proseguire nella lettura di questo articolo per scoprire che altro c’è da sapere.

Tipi di sniffing

Lo sniffing non è una sola tecnica di attacco anzi, l’attaccante può decidere con quale modalità agire per intercettare il traffico  di rete. Se l’hacker decide di sfruttale l’azione di un software sniffer potrà condurre degli attacchi di:

  1. DNS Spoofing

  2. MAC Spoofing

  3. ARP Spoofing

  4. IP Spoofing

  5. Email Spoofing

Sniffing Attivo e Sniffing Passivo: tutte le differenze

Molto spesso sentiamo parlare di sniffing attivo e sniffing passivo ma non riusciamo mai a darne una definizione chiara. Lo facciamo oggi.
Ma prima, una breve premessa: la differenza sostanziale sta nella tipologia di rete alla quale ci si connette.

Sniffing Attivo

Se la rete nel quale effettuare attività di sniffing è molto vasta e perciò con diversi dispositivi connessi, sicuramente il traffico sarà instradato da regole e configurazioni di rete. Ogni dispositivo riceverà una specifica porzione di traffico. L’attaccante che si inserisce in questo meccanismo non potrà semplicemente mettersi in ascolto, ma parteciperò attivamente al processo cercando di superare tutti gli ostacoli proposti da firewall, switch e altri apparati di rete. Per questo motivo, si parla di attacco attivo.

Sniffing Passivo

In questo caso invece, qualora la rete colpita sia più semplice e con meno dispositivi, l’hacker potrà semplicemente posizionarsi all’interno di quest’ultima per filtrare tutto il traffico in arrivo: l’attaccante non dovrà compiere alcun’azione di revisione e selezione dei pacchetti di rete. Semplicemente, le informazioni non necessarie verranno respinte.

sniffer whatsapp

Lo scopo dell’attività di sniffing

Come avrete facilmente intuito sniffer e sniffing lavorano per riuscire a registrare tutte le attività e le informazioni che passano all’interno di una rete. Il principale obiettivo di queste attività è riuscire ad intercettare indirizzi e-mail  credenziali, password non criptate anche know-how aziendale nel caso in cui l’hacker abbia colpito una vittima ben precisa.

Nei casi di sniffing strutturato, l’attività dell’hacker potrebbe essere indirizzata a porre le basi per un attacco informatico mirato e più aggressivo:

  1. Man-in-the-Middle;
  2. Rubare credenziali in chiaro;
  3. Avvelenare il protocollo ARP;
  4. Rubare sessioni TCP tramite hijacking;

Mentre nei casi meno eclatanti, lo scopo di un attacco di spoofing sarà quello di acquisire quante più informazioni private possibili. Quasi sempre la tecnica dello sniffing serve all’attaccante per perpetrare frodi e furti d’identità o di denaro.

Gli step di un attacco

Si parte dalla scelta dell’interfaccia di rete.

Normalmente un hacker interessato a dare inizio ad un attacco di sniffing, una volta identificato lo sniffer decide quale porzione di traffico intende analizzare. In base a quale tipologia di dati sarà interessato a sottrarre, dovrà settare le impostazioni del programma sniffer al fine di filtrare tutte le informazioni che riceverà.

Una volta pensato alla configurazione del programma si procede all’attività di sniffing vera e propria: ecco che il software comincerà a registrare informazioni specifiche che registrerà all’interno di un file (chiamato anche report).

Come faccio a scoprire di essere vittima di sniffing

Per un normale utente rendersi conto di un attacco di spionaggio come questo è veramente complesso, quasi impossibile. L’hacker che adotta questa tecnica cerca di restare silente senza dare prova della sua presenza per tutti il tempo.

Se invece l’attacco riguarda un’azienda, l’unico modo per rendersi conto della minaccia è implementare un software di monitoraggio del traffico DNS quindi intraprendere l’attività di contro-sniffing.

Se il vostro tecnico informatico dovesse individuare uno sniffer, dovrà procedere procedere eliminando il software.
Il più immediato per farlo è controllando manualmente le app presenti nel dispositivo ed eliminando tutti i file – e le cartelle associate. Anche se, dobbiamo dirvelo, molte volte possono esserci delle risorse nascoste che rendono estremamente complicato estirpare la minaccia.

In tal caso, noi consigliamo sempre di rivolgervi ad un’azienda specializzata in cyber security.

Come difendersi

Esistono diverse soluzioni per respingere l’attività di uno sniffer, tra le quali noi consigliamo vivamente di:

  1. Criptare tutto i processi di comunicazione
  2. Analizzare con regolarità la rete aziendale interna con lo scopo di individuare vulnerabilità o presenze indesiderate. Lo strumento si chiama Vulnerability Assessment.
  3. Connettetevi solamente a reti protette e sicure: evitate categoricamente le free Wi-Fi.

Onorato Informatica Srl

Cyber Security da oltre 10 anni

Onorato Informatica è un’azienda specializzata in sicurezza informatica dal 2006. Siamo un’azienda informatica italiana di Mantova, Parma, Milano e Los Angeles.

Onorato Informatica è certificata ISO 9001 e ISO 27001 e nell’oggetto delle certificazioni sono inseriti anche i servizi di Vulnerability Assessment e Penetration Testing.