Lo sniffing e lo spoofing sono tecniche informatiche utilizzate dagli hacker per accedere - sotto falsa identità - alle reti IP, intercettare e impadronirsi dei dati in transito, anche video
Esaminiamo da vicino le due principali tecniche di hacking impiegate dai pirati informatici - sniffing e spoofing - e le contromisure più efficaci.
Entrambe le tecniche non riguardano solo computer e smartphone -utilizzati per navigare sul Web, chattare e acquistare online - ma anche i sistemi antintrusione e i sistemi di videosorveglianza, dal momento che, quando vengono connessi alla rete, diventano a tutti gli effetti un nodo, al pari di PC, notebook, stampanti, modem/router e così via.
Solo pochi mesi fa, proprio in Italia, un gruppo di cyber-criminali ha hackerato migliaia di DVR, NVR e telecamere IP di brand famosi, sfruttando una falla del firmware: le cosiddette backdoors.
Un trucco per intercettare
Il termine sniffing deriva dal verbo inglese “to sniff” che può avere diversi significati, da quello più semplice di “annusare” a quello più esteso di “intercettare”.
Proprio quest’ultimo viene utilizzato nelle reti di telecomunicazioni e informatiche.
Grazie ad appositi programmi e applicativi chiamati “sniffer”, è possibile intercettare i pacchetti dati veicolati in una rete informatica, analizzarli, decodificare i singoli elementi (header a diversi livelli - datalink, rete, trasporto e applicativo) e recuperare quelle informazioni che due dispositivi (nodi di rete), come ad esempio un PC e un router Wi-Fi oppure un NVR e il suo Cloud, si stanno scambiando.
Lo sniffing può essere effettuato all’interno di una rete LAN (locale) oppure WAN (geografica - Internet), sfruttando le varianti della tattica “man in the middle”: l’intercettazione dei pacchetti dati di una comunicazione tra due nodi avviene grazie a un terzo nodo, l’intruso. Quest’ultimo, molto semplicemente, si inserisce nella comunicazione facendo credere al primo nodo di essere il secondo e al secondo di essere il primo.
L’intruso potrà così “annusare” tutto il traffico in transito, tracciare i pacchetti dati, esaminarli, copiarli e, addirittura, alterarli (pur garantendone sempre il transito), senza che gli altri due nodi possano accorgersi di nulla.
Lo sniffing può riguardare informazioni altamente sensibili come le credenziali di accesso alla posta elettronica, a un sito Web oppure al Cloud per la gestione e la visione da remoto delle riprese di un sistema di videosorveglianza o di un impianto antintrusione, la password del Wi-Fi, il codice MAC di un’interfaccia di rete (utilizzato come falsa identità dell’hacker per compiere altri crimini - vedi spoofing) ecc.
Reti sicure, protocollo HTTPS e proxy
Portare a termine con successo un attacco sniffing è molto più semplice di quello che si possa credere: basta conoscere i meccanismi di funzionamento della rete e possedere il software adatto, facilmente reperibile anche sul Web.
Altrettando semplice è mettere in atto alcune contromosse che permettano di difendersi dai tentativi di sniffing senza necessariamente staccare la spina del cavo di rete, disabilitare il Wi-Fi e la connessione mobile.
Se consideriamo che gli attacchi sniffing più semplici (ma non per questo meno efficaci) avvengono solo se gli utenti sono collegati alla stessa rete LAN/WLAN, una rete domestica ben progettata risulta più che sicura.
Bisogna invece prestare molta attenzione alle reti Wi-Fi messe a disposizione, anche gratuitamente, da bar, ristoranti, hotel e centri commerciali, spesso gestite male e senza la necessaria sicurezza. Quando si deve monitorare l’impianto di videosorveglianza oppure il sistema antintrusione da remoto utilizzando uno smartphone, meglio quindi affidarsi alla propria rete mobile 3G/4G.
Di norma, la navigazione sui siti Web dedicati all’home banking o ai sistemi di pagamento (carte di credito, portafogli virtuali ecc.), così come la procedura di acquisto sui siti di e-commerce, viene protetta dal protocollo TLS - Transport Layer Security, abbinato all’HTTP - HyperText Transfer Protocol, il linguaggio del Web.
L’HTTPS (dove la “s” finale sta per “security”) assicura la corretta trasmissione e la riservatezza dei dati scambiati, fornendo tre livelli di protezioni: crittografia, integrità dei dati e autenticazione.
Pur non garantendo una protezione totale dallo sniffing, l’HTTPS lo rende decisamente più complicato e andrebbe quindi utilizzato anche per l’accesso alla Web mail e per la navigazione anonima su altri siti Web.
Una rete VPN - Virtual Private Network oppure un server proxy rappresentano altri due strumenti utili per assicurare una navigazione nel pieno anonimato e ridurre al minimo il rischio di intercettazioni.
Attacchi sotto falsa identità
Anche questa tecnica di hacking deve il suo nome a un verbo anglosassone, “to spoof”, che significa “imbrogliare”.
Si tratta, in sostanza, di una falsificazione dell’identità che un malintenzionato mette in pratica per accedere a un nodo della rete come, ad esempio, un sito Web, un router oppure un server, facendogli credere di essere qualcun altro.
Può essere messo in atto a qualunque livello del modello ISO/OSI, ovvero indirizzo MAC, indirizzo IP, UTC/UDP ecc.
Lo scambio di identità ha un unico scopo: approfittare dell’autorizzazione concessa a un determinato dispositivo (tramite il suo codice IP univoco - autenticazione IP) per ottenere l’accesso a una rete e ai dispositivi presenti, copiare, manipolare o cancellare i dati presenti.
Grazie a una specie di baco presente nel protocollo di gestione del processo di instradamento dei dati nella rete, i router leggono l’intestazione del pacchetto, ricavano l'indirizzo IP del destinatario e ne tracciano la rotta nodo dopo nodo.
Non conta quale sia l’IP di origine, ma solo quello di destinazione.
In questo modo, un hacker intenzionato ad accedere a una rete interna aziendale (Intranet) potrà, ad esempio, creare un pacchetto dati con header contraffatto (indirizzo IP compatibile con quello della rete aziendale) e indirizzo IP di destinazione interno oppure esterno (sito web sotto il controllo dell’hacker).
Falsificando l’identità del suo pacchetto, l’hacker potrà accedere alla Intranet senza essere scoperto e con la possibilità di compiere qualsiasi tipo di crimine.
IP manuale e filtraggio dei pacchetti
Il modo più efficace per impedire (o almeno arginare) lo spoofing è assegnare manualmente un indirizzo IP a ciascun nodo della rete (es.: PC desktop 1 - 192.168.1.3, PC desktop 2 - 192.168.1.4, Laptop 1 - 192.168.1.5, smartphone 1 - 192.168.1.6, NVR - 192.168.1.100, ecc.).
Per fare questo, bisognerà disattivare il protocollo DHCP - Dynamic Host Configuration Protocol, che assegna automaticamente un indirizzo IP ai dispositivi che accedono alla rete e, possibilmente, creare una lista controllata di dispositivi certificati per la condivisione delle risorse di rete.
Altra soluzione è il filtraggio dei pacchetti - Packet Filtering - a livello del router o del firewall di rete, una pratica che ostacola il flusso dei pacchetti dati provenienti da fonti non conosciute o certificate (indirizzi IP e MAC Address).
Il filtro in ingresso, ad esempio, blocca i pacchetti dati provenienti da fonti esterne alla LAN ma che, nell’intestazione del pacchetto stesso, presentano un indirizzo IP interno alla rete locale.
Gli amministratori di una rete LAN di grandi dimensioni possono anche bloccare in uscita quei pacchetti con un falso indirizzo IP di origine, grazie alla tecnica di Egress Filtering.
Riprese video crittografate e autenticate
Le aziende leader del mercato della videosorveglianza, in particolar modo quelle che creano prodotti e soluzioni professionali, hanno sviluppato piattaforme ad alta sicurezza in grado di rilevare gli attacchi hacker come lo sniffing e lo spooling, analizzarli e mettere in atto le necessarie contromisure.
Di norma, questi sistemi di protezione si basano su tre blocchi: la crittografia dei dati e delle comunicazioni, la verifica e la chiave di autenticazione, che permette di utilizzare le riprese anche in ambito forense.
Per prevenire manipolazioni con la tecnica “man in the middle”, le riprese vengono crittografate “a monte” - cioè nelle stesse telecamere - e trasferite dal DVR/NVR con un sistema end-to-end totalmente protetto.
Per garantire l’attendibilità dei dati, si utilizzano certificati e marker speciali in grado di rilevare con assoluta precisione quale telecamera ha effettuato la ripresa e se il contenuto video è stato alterato.
La sicurezza e l’affidabilità di queste piattaforme dipendono anche dalla corretta progettazione e configurazione della rete LAN, della Intranet e dei dispositivi di routing utilizzati: una semplice falla potrebbe rendere meno efficaci tutte queste protezioni ed esporre l’impianto di videosorveglianza ai cyber-attacchi.
Anche il Garante della Privacy ha più volte ribadito che i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita (anche accidentale), di accesso non autorizzato, di trattamento non consentito o non conforme.
Giacomo Bozzoni
