Packet Sniffing per imbranati

Packet Sniffing per imbranati

L’immagine del classico individuo tecnologicamente avanzato (o quantomeno avvezzo alla tecnologia) che – pur non essendo un evangelist del settore IT, per intenderci – sa inviare email, ascoltare musica in streaming, usare FTP, leggere report dal web e scrivere post sul proprio blog, si trova ad essere fortemente minata dalla possibilità inquietante che, qualora usi una connessione wireless (all’interno di un bar, ad esempio, come nella quasi totalità dei casi delle connessioni ADSL) i nostri dati in circolazione nella rete possano, sotto certe condizioni, essere letti dall’esterno, o addirittura manipolati. Ipotesi che per certi versi appartengono ad un immaginario paranoide da sci-fiction di serie Z o da blog complottista della peggior specie, a mio avviso, ma anche un rischio concreto che nessuno di noi dovrebbe mai sottovalutare.

Senza alcuna forma di contromisure, in effetti, i nostri dati su internet (le email a cui accediamo, il conto in banca, l’account Facebook) sono tutt’altro che al sicuro: un caso peggiore da considerare nell’analisi dei vari rischi per la sicurezza che certamente non si verificherà quando e come ci aspettiamo, ma che – in prospettiva di medio-lungo periodo – potrebbe essere problematico da gestire. Il furto della nostra identità è uno dei rischi più concreti in merito, e a volte basta davvero poco per prendere adeguate contromisure.

Packet Sniffing, chi era costui?

Packet sniffing è sinonimo di analisi dei pacchetti di rete, ovvero la cattura da parte di un estraneo dei frame di dati che passano attraverso la nostra connessione ad internet: in altri termini tra noi ed il sito a cui siamo connessi, per esempio, si instaura uno scambio di dati che una terza entità (ad esempio un software spia) a nostra insaputa riesce a catturare. Un packet sniffer si intromette nella nostra connessione wireless tra noi ed il sito (oppure tra noi ed il nostro interlocutore in chat) prendendo nota, in un certo senso, di tutte le informazioni che riesce a reperire.

In mancanza di una connotazione realmente negativa, un packet sniffer (detto anche network analyzer, packet analyzer, protocol analyzer, or sniffer) viene utilizzato come tool di lavoro dagli amministratori di rete per effettuare diagnostiche prestazionali. Esiste anche un utilizzo alternativo che li vede come protagonisti di veri e propri abusi, in effetti: si tratta di software noti e meno noti come Cain and Abel, Carnivore (uno dei più vecchi), dSniff (fine anni 90), Ettercap, Fiddler, tcpdump (terminale Mac), Wireshark, Ettercap (per Linux). Maggiori informazioni sullo sniffing di rete per Mac sono in questo articolo della Apple, mentre un’interfaccia grafica per il tutto è Cocoa Packet Analyzer. Questi strumenti servono a prelevare i frame di connessione tra il vostro IP ed uno esterno, tabellandoli come mostrato in figura, e possono sotto opportune condizioni essere installati ed utilizzati anche a vostra insaputa.

Il focus si è spostato, negli utlimi anni, dal considerare questi strumenti come operatori per la sicurezza del sistema operativo piuttosto che per il “semplice” monitoraggio di rete.

In alcuni casi è possibile, quindi, che ad esempio le informazioni di login di un sito siano passate in chiaro allo sniffer, che potrà leggerle senza alcun filtro come mostrato nella schermata qui sopra. Un rischio per la sicurezza e la vostra privacy che può essere in parte aggirato usando pagine con connessioni HTTPS sui siti di login ed in presenza di certificati validi.

Tool ancora più avanzati come NetworkMiner, possono, potenzialmente, arrivare a ricostruire le immagini che avete visto e procurarsi altre informazioni a livello più avanzato.

Quali tipologie di informazioni sensibili sono rilevabili da uno sniffer? Username e password!

Contrariamente a quello che potrebbe pensare un inesperto, buona parte delle connessioni ad internet viaggiano in chiaro: questo significa che un packet sniffer può leggere quelle informazioni in qualsiasi momento. Utilizzando una connessione protetta mediante SSL si riesce in parte a limitare queste problematiche, ma si tratta di accorgimenti che deve prendere il gestore del sito su cui ci rechiamo abitualmente, e che gli e-commerce grossi ed i siti delle banche online tendono ad adottare, assieme ad ulteriori misure di sicurezza come le One-Time Password. SSL peraltro non dovrebbe essere mitizzata perchè in molti casi i certificati usati dai siti sono del tutto deboli, per cui uno potrebbe sempre farci credere di essere connessi ad un sito che in realtà non è quello che dice di essere.

Sul web trovate numerose testimonianze di persone che affermano di essere riuscite a leggere in chiaro, nella propria LAN (ovvero in presenza di procedure di sniffing che, per inciso, potrebbero restare in possesso di amministratori di rete poco professionali, che raccolgono quei dati nei propri log per tutt’altro scopo, per inciso), credenziali di accesso a mail senza https, e sotto questo punto di vista sia Gmail che Yahoo! Mail sono corse ai ripari dando l’opportunità quantomeno di proteggersi maggiormente. Teoricamente uno sniffer può anche aggirare il protocollo HTTPS (nessuna protezione al mondo è infallibile), certo non è una cosa a portata di chiunque ma è sempre una forma di sicurezza minimale che, diversamente, non esisterebbe proprio. Stesso problema che, per inciso, si verifica qualora ad esempio clicchiamo sull’opzione “Ricordami su questo computer” al momento del login su Facebook o altri siti, che imposta un cookie (un file) nel computer in locale che uno sniffer potrebbe captare, molto spesso salvato in chiaro.

Sono queste le ragioni per cui, senza degenerare in sciocche o sproporzionate paranoie, il classico individuo tecnologicamente avanzato di cui sopra dovrebbe, se non altro, fare molta attenzione a come usa la propria connessione ad internet ed essere consapevole dei rischi.

Come faccio ad evitare (o limitare) il packet sniffing?

Ora che ho terrorizzato un pochino (almeno credo) il lettore medio del mio blog (le mie intenzioni sono in buonafede, s’intende) passiamo al più interessante “come proteggersi dallo sniffing“: abbiamo detto che SSL (Secure Socket Layer) è un qualcosa che ci fa stare relativamente più tranquilli, per cui quantomeno evitate di loggarvi in http (senza ‘s’ finale) da hotspot di internet pubblici. È invece essenziale che la connessione sia protetta da https al momento di acquisti online di beni o servizi, specie qualora vi venga richiesta la carta di credito o la password dell’account PayPal. Molti siti truffa sono riconoscibili, in effetti, perchè quando pagate non impostano SSL, che viene spesso evidenziato dai browser con l’icona di un lucchetto e cambiando colore alla barra degli indirizzi. Peraltro Google permette di criptare l’intero traffico di Gmail e di una parte dei servizi annessi abilitando SSL di default.

Il problema della scarsa riservatezza delle reti wireless, al di là della presenza o meno di password per accedere alla rete (le reti pubbliche sono una potenziale “pacchia” per chi vuole spiarci, per inciso) è legato al cosiddetto broadcast dei pacchetti, che fa in modo (specie nei modelli non recentissimi) che i frame siano distribuiti a tutti i nodi della rete, potenziando così le possibilità di sniffing (anzi, rendendolo di fatto possibile). Modelli più recenti dovrebbero, almeno teoricamente, limitare attività di questo genere: if un pacchetto arriva ad una destinazione non sua durante le procedure di comunicazione, non farà redistribuzione dei dati.

L’uso di chiavi di protezione WEP (ormai deprecata) o WPA permette inoltre di non far viaggiare i dati della connessione in chiaro, donando così un ulteriore livello di sicurezza: anche qui, esistono tuttavia dei software che in presenza di grossi flussi di dati fanno in modo di “indovinare” la password ed accedere quindi anche a wireless protette. È vero che molti lo fanno esclusivamente per scroccarvi la connessione, ma è un motivo in più per non fidarsi mai troppo delle wireless (e mi rivolgo all’utente di cui sopra, in particolare). Metodi di protezione delle wireless più avanzati, qui non trattati per brevità, richiedono agli utenti di disporre di un certificato per accedere alla rete oppure di imporre un tunnelling SSL (mediante Virtual Private Network).


Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Guide informatica e varie):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.