Sniffing è un termine probabilmente noto soltanto agli addetti ai lavori che si occupano di sicurezza informatica ma che, senza ombra di dubbio, avrebbe necessità di essere conosciuto da tutti gli internauti, che dovrebbero essere adeguatamente informati sui rischi connessi.
Vediamo allora insieme di cosa stiamo parlando nel dettaglio e come possiamo proteggersi da questa forma di attacco.
Cos’è lo sniffing
Ma di cosa stiamo parlando? Cosa si intenda con Sniffing è intuibile facendo riferimento alla traduzione dall’inglese della parola, che significa, “fiutare”, “odorare”.
In un certo senso, questo è ciò che fanno i criminali informatici quando implementano un attacco di sniffing. Tipicamente i cybercriminali cercano qualcosa di specifico durante un attacco di questo tipo: informazioni di accesso personali, incluse password, informazioni bancarie o informazioni sulla carta di credito, messaggi personali ed e-mail, ecc.
Per ottenere queste preziose informazioni, i dati che transitano attraverso il web sono “annusati” fino ad arrivare a individuare quelli che più interessano. Perciò, come recita la definizione governativa ufficiale, con sniffing si indica l’attività di intercettazione passiva del traffico dati all’interno di una rete telematica tramite specifici strumenti software definiti “sniffer”.
Con questi ultimi, infatti, diventa cioè possibile monitorare il traffico Internet in tempo reale, analizzando e intercettando i pacchetti dati che fluiscono da e verso un computer/dispositivo. Di per sé, lo sniffing non è qualcosa di illegale, anzi: gli sniffer sono infatti comunemente utilizzati dagli amministratori di rete per monitorare e analizzare il traffico di rete, al fine di rilevare problemi e mantenere il sistema di networking efficiente. Ad esempio, per salvaguardare la qualità e la larghezza di banda, individuando un uso eccessivo di programmi di condivisione di file da parte di determinati utenti.
Come viene eseguito un attacco
Il problema, però, è che lo sniffing è ormai sempre più noto per essere utilizzato per scopi illegali da parte degli hacker e dei cybercriminali di tutto il mondo. Gli hacker utilizzano gli sniffer per rubare dati, spiare le attività di rete e raccogliere informazioni sugli utenti. Fondamentalmente, come accade anche in tanti altri generi di attacchi, l’obiettivo finale è ottenere password e informazioni sui conti correnti da utilizzare in siti bancari e di shopping.
Ma come avviene un attacco? Fondamentalmente gli hacker tendono a utilizzare virus, trojan e worm per fornire uno sniffer a un computer di destinazione, sfruttando connessioni WI-Fi non sicure, come quelle presenti in caffetterie, hotel e aeroporti.
I criminali informatici possono anche utilizzare tecniche di ingegneria sociale o di phishing (qui una guida per conoscerne i dettagli) per ingannare le persone e spingerle a scaricare i loro sniffer.
Ad esempio, le vittime possono essere indirizzate verso a siti Web infetti che scaricano automaticamente lo sniffer quando vengono visitati o inviare e-mail con allegati che permettono di installare il software dannoso. In ogni caso, il risultato è potenzialmente pericoloso: i cybercriminali possono monitorare l’utilizzo di Internet di un’utente, inclusi e-mail e messaggi istantanei, arrivando persino ad accedere a credenziali di accesso, informazioni privilegiate e dettagli finanziari.
Sniffing attivo e passivo
Solitamente si usa distinguere tra sniffing attivo e passivo: nello sniffing attivo i cybercriminali riescono a introdursi nella rete come se ne facessero parte, ad esempio assumendo l’indirizzo IP di un utente della rete, superando così tutti i blocchi normalmente applicati dagli switch. In questo modo, oltre alle azioni negative descritte in precedenza, lo sniffing attivo può essere il primo passo per mettere in atto un attacco di tipo DDoS, che porta al sovraccarico di una rete aziendale.
Con lo sniffing passivo, invece, gli hacker intercettano i dati che transitano nel traffico di una rete senza agire sulle risorse. Secondo gli esperti, quest’ultima modalità rappresenta una tipologia attacco più difficile da rilevare, in quanto punta a osservare e assorbire tutto il traffico presente, includendo anche quello non pertinente e ignorato dallo stesso dispositivo che lo riceve.
Come difendersi dallo sniffing
La grande domanda, naturalmente è: come è possibile difendersi dallo sniffing? La cattiva notizia è che non è per nulla semplice individuare un attacco di sniffing. Anzi, è abbastanza probabile che lo sniffer non venga rilevato per un lungo periodo di tempo e rimanga nascosto nella rete.
Il problema nasce dal fatto è che le reti sono di solito estremamente complesse, dunque uno sniffer può essere un software installato sul proprio dispositivo, su un device hardware collegato, in un nodo di rete, ecc. Inoltre, occorre sottolineare che la classica arma di difesa contro il cybercrime, ovvero il firewall, non è in grado di proteggere adeguatamente il sistema dallo sniffing, poiché uno sniffer non genera di per sé alcun traffico di rete.
Il consiglio numero uno, naturalmente, è quello di evitare le reti non adeguatamente protette. Quando si legge di furto di dati bancari o di acquisti di dati non autorizzati, quasi sempre si tratta di vittime di attacchi di sniffing all’interno di reti wi-fi non adeguatamente protette, in cui i cybercriminali possono più facilmente rilasciare gli sniffer. Perciò, ogni volta che il proprio dispositivo segnala un Wi-Fi pubblico gratuito e non adeguatamente protetto, sarebbe meglio non utilizzarlo o, comunque, non divulgare mai dati sensibili.
In ogni caso, poiché gli sniffer possono essere trasmessi dagli hacker sotto forma di virus, trojan e worm, un ottimo modo per proteggersi è quello di investire su una potente suite antivirus, dotata di strumenti che forniscano protezione 24 ore su 24 per bloccare malware e collegamenti dannosi.
Un altro metodo efficace per prevenire gli attacchi di sniffing è crittografare tutte le comunicazioni in entrata e in uscita prima di condividerle utilizzando una rete privata virtuale (VPN). La crittografia migliora la sicurezza e rende difficile agli hacker la decrittografia dei dati del pacchetto, vanificando dunque gli attacchi di sniffing.
In generale, gli amministratori IT, hanno l’obbligo di proteggere le proprie reti, scansionandole e monitorandole di continuo, così da identificare prontamente eventuali attacchi di sniffing prima che arrechino danni, tenendo traccia dell’utilizzo della rete e ispezionando in tempo reale i dispositivi che sono stati impostati.