Cos'è lo sniffing e come difendersi
Sniffing: definizione, come riconoscerlo e come difendersi
Lo sniffing, termine inglese che significa "fiutare", è un'attività che riguarda l'intercettazione e l'analisi dei dati che viaggiano all'interno di una rete di comunicazione. Questa pratica può essere utilizzata sia per scopi legittimi che illeciti, e può rappresentare una minaccia significativa per la cybersecurity se utilizzata in modo improprio.
Cos'è lo Sniffing informatico?
Nel mondo dell'informatica, lo sniffing è l'atto di monitorare e catturare i dati in transito su una rete in tempo reale. Questo processo viene eseguito attraverso l'uso di specifici software o hardware, conosciuti come "sniffer", strumenti sono in grado di registrare tutto il traffico in entrata e in uscita da un computer collegato alla rete, comprese informazioni sensibili come nomi utente e password non criptate.
Gli sniffer possono essere installati su qualsiasi dispositivo connesso a una rete locale e operano in modo completamente trasparente, rendendo difficile per l'utente medio rilevare la loro presenza. Se utilizzati con cattive intenzioni, gli sniffer possono permettere a un attaccante di accedere a qualsiasi account e rubare dati cruciali.
Come funziona lo Sniffing?
Lo sniffing segue un processo ben definito basato su un algoritmo specifico. Inizialmente, l'attaccante sceglie un'interfaccia di rete da monitorare: la fase di preparazione si conclude con l’impostazione della capacità di buffer e il settaggio dell’interfaccia in modalità “monitor”. Successivamente viene impostato il tipo di filtro appropriato. Infine, dopo aver deciso numero di pacchetti di dati da intercettare e azioni da eseguire su ognuno di essi, vengono creati dei report per registrare l'attività di analisi in file di log.
Tipologie di Sniffing
Esistono due principali tipi di sniffing: attivo e passivo. La distinzione tra i due è legata principalmente al tipo di rete utilizzata e al grado di interazione dell'attaccante con i dati intercettati.
Sniffing Attivo
Nello sniffing attivo, l'attaccante si introduce all'interno della rete come se ne fosse parte integrante, acquisendo l'indirizzo IP di un utente e superando eventuali blocchi imposti da firewall o switch. In questa modalità, l'attaccante può alterare o manipolare i dati trasmessi, falsificare l'identità di un altro utente per ottenere accesso a informazioni riservate o provocare un sovraccarico della rete attraverso un attacco hacker DDoS.
Sniffing Passivo
Al contrario, lo sniffing passivo è un'attività più discreta, in cui l'attaccante si limita a intercettare e osservare il traffico di rete senza interagire con i dati trasmessi. Questa modalità di attacco è particolarmente insidiosa in quanto è molto difficile da rilevare: l'attaccante può intercettare e analizzare qualsiasi tipo di comunicazione, incluse e-mail, telefonate o documenti riservati.
Tipologie di Sniffer
Gli sniffer sono software o hardware e possono essere suddivisi in due categorie principali, a seconda del loro utilizzo:
- sniffer commerciali: destinati agli amministratori di rete e a chi si occupa della manutenzione delle reti, progettati principalmente per la risoluzione dei problemi e per garantire un funzionamento efficiente del sistema
- sniffer specializzati: offrono funzionalità più avanzate e sono spesso utilizzati per scopi illeciti come l'hacking, essendo in grado di rilevare e registrare un'ampia varietà di informazioni, rendendoli strumenti molto potenti nelle mani sbagliate
Come proteggersi dallo Sniffing?
Data la natura insidiosa dello sniffing, è cruciale adottare misure preventive per proteggere i propri dati. Fondamentale è fare attenzione quando si naviga, evitando possibilmente le reti Wi-Fi non protette, particolarmente vulnerabili agli attacchi di sniffing, e utilizzando una VPN per criptare tutte le comunicazioni online. È inoltre consigliato visitare soltanto siti sicuri, che sfruttano il protocollo TLS e hanno indirizzo “https://” e installare un antivirus efficace, o, in azienda, una soluzione come il Managed Detection and Response che controlla il comportamento degli endpoint.
Se si ha il timore di essere oggetto di un attacco di sniffing ci sono delle azioni che si possono intraprendere, per quanto lo sniffing sia per sua stessa natura molto difficile da individuare:
- utilizzare uno sniffer: paradossalmente, una delle tecniche più efficaci per rilevare un attacco di sniffing è utilizzare uno sniffer per monitorare il traffico DNS. Questo può aiutare a identificare qualsiasi attività sospetta e potenzialmente rivelare la presenza di uno sniffer malevolo.
- eliminare il software dannoso: se si rileva la presenza di uno sniffer, è importante rimuoverlo il più rapidamente possibile. Questo può richiedere la rimozione manuale di applicazioni sospette e di file associati, o l'uso di software anti-malware specifici.
- proteggere la rete: gli amministratori IT hanno la responsabilità di proteggere le loro reti da attacchi di sniffing. Questo include scansione e monitoraggio regolari della rete e l'adozione di soluzioni di firewall o di altre soluzioni dedicate al networking.