Sniffer, definizione del fenomeno

Dal momento che eseguiamo qualsiasi attività via web, le informazioni vengono condivise con qualcun altro.
Le informazioni che transitano attraverso Internet vengono suddivise in pacchetti e inviate laddove devono arrivare.

L’attività di sniffing, in ambito informatico sta ad indicare letteralmente l’intercettazione di dati.
In questo caso, parleremo certamente dell’attività degli sniffer condotta per scopi illeciti, ovvero, per carpire credenziali, messaggi privati o ogni altro genere di informazione riservata.

1. Definizione di sniffer
2. Caratteristiche degli sniffer
3. Cosa fa lo sniffer
4. Metodi di introduzione
5. Chi fa uso di sniffer?
6. Lo sniffer in ambito criminale
7. Rivelare e prevenire la presenza di uno sniffer

Uno sniffer (dall’inglese “to sniff”, sniffare), o un bundle sniffer, è un gadget che analizza il traffico di rete, acquisisce le informazioni per vedere chi si collega, o con chi vi collegate, tramite il vostro dispositivo o rete.

Sebbene gli sniffer non siano necessariamente dannosi, possono causare problemi consentendo a un programmatore di conservare PIN, password e altre informazioni delicate, in particolare informazioni di testo riservate.

Di norma, la programmazione sniffer è utilizzata per motivi leciti, anche per esaminare il flusso di traffico di rete.

I cybercriminali che traggono profitto nel furto di informazioni probabilmente fanno uso di sniffer, di cui il loro uso illecito è fonte di preoccupazione.
Gli sniffer registrano tutto ciò che incontrano, inclusi i nomi utente e le password non criptate, rischiando di essere sfruttati dagli hacker per accedere a qualsiasi account.
Inoltre, gli sniffer sono facili da installare e usare: basta solo usare come mezzo qualsiasi computer connesso a una rete locale, senza bisogno di processi di installazione. La loro presenza non è rilevata per l’intera durata della connessione.

Tendenzialmente, lo sniffer si configura come il software che consente all’hacker di intercettare tutto il traffico in tempo reale dati da un computer all’altro per poterne trarre un vantaggio personale.

Gli sniffer vengono indicati attraverso l’utilizzo di diverse terminologie: sniffer wireless, packet sniffer, sniffer Ethernet: l’obiettivo di questi elementi è proprio quello di interporsi in un flusso di comunicazione.

Gli sniffer catturano ed esaminano i pacchetti di informazioni che transitano da un nodo all’altro.
Per comprendere meglio come funziona la logica di uno sniffer, immaginate il traffico web come un flusso: una progressione di veicoli che guidano su una strada in vari sensi di marcia e presentano schemi ricorrenti basati su un assortimento di elementi.

Qui entra in gioco l’azione dello sniffing.

All’inizio, gli sniffer erano (e possono ancora essere) strumenti estremamente utili ad ingegneri, amministratori di sistema o professionisti della cybersecurity al fine di tenere traccia di tutto ciò che veniva scambiato.

Dal momento che consentono agli addetti ai lavori di tenere traccia di tutto il traffico dati in entrata e uscita da un’organizzazione, gli sniffer possono essere utilizzati per analizzare i problemi e valutarne la soluzione.

Come gli amministratori dell’organizzazione utilizzano l’attività di sniffing?

In primo luogo, è fondamentale comprendere come funziona il traffico web in generale su un’organizzazione.
In generale, il PC esaminerà solo i pacchi che gli sono stati esplicitamente indirizzati.
Tornando all’esempio “veicoli che guidano su una strada”, possiamo immaginare il PC come una casa lungo quella strada.

Non viene preso in esame ogni veicolo che passa vicino alla “casa”, ma supponendo che qualcuno lasci il posto auto coperto, probabilmente vorreste controllare quale sia la sua identità. Questo è il modo in cui il computer tratta la maggior parte dei pacchetti di informazioni: esamina i pacchi che vengono spediti, ignorando tutti gli altri.

Lo sniffing modifica le impostazioni del computer con l’obiettivo di “annusare” ogni pacco, anziché semplicemente solo quelli spediti, e di duplicarli per un ulteriore controllo.

Invece di notare l’ingresso solo quando qualcuno passa, lo sniffer è attaccato alla finestra, osservando tutti i veicoli mentre passano.

Il nostro rilevatore potrebbe schermare ogni veicolo, oppure potrebbe decidere di ricercare solo camion, o automobili rosse, o veicoli con non meno di tre passeggeri, o forse le vie “incrociate”.

Tutto sommato, un individuo che coinvolge uno sniffer in modalità non filtrata può raccogliere tutto il traffico, oppure programmare lo sniffer per incanalare pacchetti contenenti un tipo predefinito di informazioni.

Esistono diversi tipi di software sniffer.
Tra questi includiamo:

• Sniffer IP
  

  sono un tipo di software sniffer che consente all’utente di eseguire il ping di un indirizzo IP e di scoprire a quale paese appartiene l’indirizzo IP. Alcuni di questi possono convertire indirizzi IP, domini e host, rivelando le informazioni pertinenti su entrambi;

• Software port scanner
  

  progettato per controllare un server o un host per eventuali “porte aperte”. È utilizzato dagli amministratori di rete per verificare che la rete sia sicura e funzionale;

• Pacchetto TCP/IP
  

  generalmente più diffusi. Contengono un’intestazione e una sezione di dati memorizzata, sono presenti informazioni sull’origine e sulla sua destinazione. Analizzando questi pacchetti con lo sniffer, possiamo scoprire che tipo di dati vengono trasferiti all’interno della rete e chi sta comunicando con chi.

Alcuni software di sniffer di pacchetti hanno funzionalità estese e, a seconda di quanto è completo il pacchetto, è possibile monitorare l’intera rete o solo una parte di essa.

Che componenti sono presenti in uno sniffer?

• Hardware
  

  La maggior parte dei prodotti lavorano con lo standard di adattatori network, alcuni di essi richiedono hardware speciale; se viene usato, si possono analizzare errori hardware;

• Buffer
  

  Una volta che i pacchetti sono catturati dalla rete, vengono immagazzinati in un buffer. Ci sono due modi di cattura: la prima, cattura finché il buffer non si riempie. La seconda, invece, usa il buffer come un “round robin” dove i dati recenti sostituiscono quelli più vecchi;

• Capture driver
  

  il più importante. Cattura il traffico della rete dal cavo, lo filtra e memorizza i dati al suo interno.

Le tecniche di sniffing si basano sulla cosiddetta tattica man in the middle.

Come funziona il man-in-the-middle attack?

Per intercettare i pacchetti di dati relativi ad una comunicazione in corso tra due nodi della rete, viene inserito al centro un terzo nodo (inizialmente esterno alla comunicazione stessa), che da quel momento funge da ponte tra i due nodi iniziali.
Questo metodo permette all’intruso di ottenere le informazioni che cerca semplicemente osservando e copiando tutto il traffico che passa, senza destare sospetti nei due nodi comunicanti, che restano convinti di essere in collegamento diretto e quindi senza intermediari.

Pertanto, i cybercriminali spesso posizionano queste minacce in luoghi che offrono connessioni Wi-Fi non protette, per esempio in bar, aeroporti e alberghi.

Inoltre, è bene sapere che gli sniffer vengono utilizzati anche per impersonare altri dispositivi sulla rete, noto come attacco di spoofing per rubare informazioni riservate.

Le reti Wi-Fi instabili sono una delle risorse chiave per gli sniffer.
Senza crittografia, tutte le informazioni sono allo scoperto, potendo essere sniffate senza difficoltà.

I professionisti dotati collocano alcune funzioni di sniffing all’interno di un’azienda, con l’obiettivo di sfruttare il suo traffico e tenere traccia di ciò che viene inviato.

Di sicuro, vi sarà saltata in mente l’immagine di un detective scaltro che sorveglia la linea telefonica del sospettato, scoprendolo sul fatto mentre quest’ultimo parla con i complici del crimine, scena classica dei film e romanzi gialli. Gli sniffer sono fondamentalmente esattamente la stessa cosa, ma per il web.

Ecco un elenco di chi potrebbe utilizzare uno sniffer:

• Ingegneri di rete: analizzando il tipo e il livello di traffico su un’organizzazione, gli specialisti possono utilizzare le informazioni per aggiornare la struttura in sé, in termini di produttività e velocità;
• Aziende: gli specialisti IT di un ufficio aziendale potrebbero utilizzare sniffer per controllare i propri dipendenti. Così facendo, possono scoprire i siti che visitano, quanto tempo vi trascorrono e se stanno vedendo o scaricando materiale inopportuno;
• Esperti di sicurezza: somme o tipi di traffico insoliti possono dimostrare che tutto non è come sembra. I gruppi informatici possono riconoscere l’uso anormale di Internet, che potrebbero rivelare la presenza di un hacker o malware.

Gli sniffer di rete non vengono semplicemente utilizzati da professionisti comuni, ma possono essere usati anche dai cybercriminali.
L’obiettivo di queste figure in questo caso sarà quello di intercettare tutto il traffico dati inviato da un’azienda o un privato, traendone vantaggi per i propri scopi illeciti.

Controllando l’utilizzo del web, inclusi messaggi e testi, un hacker potrebbe avere la possibilità di accedere a certificazioni di accesso, dati sensibili ed estratti conto.

Questo è il motivo principale per cui gli sniffer possono essere così pericolosi in mani criminali.

Dopo aver parlato di sniffer e compreso quanto possono essere scaltri, che contromisure si possono adottare?

Riconoscere la presenza di uno sniffer non coinvolto non è certamente un compito semplice.
Inoltre, lo sniffer può operare all’interno di qualsiasi rete informatica, gli utenti colpiti potrebbero non accorgersene mai della sua presenza.

Tuttavia, esistono dei metodi da applicare per scoprire la presenza di eventuali sniffer:

• Inserire a propria volta uno sniffer che monitori il traffico DNS, trovandone di conseguenza altri.
• Installare un software anti-sniffer al fine di individuare eventuali intrusi;

Come per molte cose nella vita di tutti i giorni, la migliore protezione contro gli sniffer è la prevenzione:

• Utilizzare una soluzione VPN in grado di nascondere la propria attività di navigazione e difendersi con la crittografia;
• Un potente antivirus per trovare e rimuovere qualsiasi malware associato a uno sniffer installato sul proprio computer.