Guide: passo per passo
In realtà uno sniffer potrebbe essere installato ovunque sulla rete, tuttavia esistono dei punti strategici che, permettendo la raccolta di determinate informazioni, sono favoriti rispetto ad altri. Uno di questi è un qualsiasi punto adiacente ad una macchina in cui si può presumere passino notevoli quantità di password; ad esempio un Gateway di rete oppure un nodo che ospiti traffico in entrata e in uscita verso l'esterno della rete stessa.
Se la LAN è connessa con l'esterno si puo presumere che lo sniffer cercherà di controllare e copiare le procedure d'autenticazione con le altre reti, cosa che permetterebbe di aumentare in via esponenziale le possibilità invasive di chi gestisce lo sniffer.
Come regola generale, terremo conto del fatto che lo sniffer sarà installato, sia esso hardware o software, all'interno dello stesso blocco di rete (net of trust) del network che si è inteso controllare.
Ovviamente esistono numerose eccezioni che rendono spesso difficile individuare i punti esatti in cui cercare uno sniffer all'interno della rete. Questo è ancor più vero per alcuni Tool, decisamente costosi e non alla portata di tutti (chi ha orecchie per intendere, intenda), sviluppati per operare analisi di traffico al livello dello stesso cavo di rete (cable sniffer); possono così essere impiantati direttamente sulla connessione fisica del network.
Gli sniffer (software) sono molto meno subdoli di quel che si pensi per fortuna, e la loro locazione più probabile in una LAN, è sui Server che la gestiscono per intero o nei nodi intermedi, ma quel che più ci interessa è porre l'accento sulla possibilità che questi prodotti offrono, se usati con costanza e cognizione, di ottenere risultati che vanno dall'aquisizione di password alla raccolta di dati sensibili, solo per citare alcuni degli obiettivi più nefasti.
Sicuramente rappresentano un pericolo per la nostra privacy, intesa nel suo senso più lato, o possono portare ad esempio, agli stessi risultati di intercettazioni telefoniche e ambientali, a causa dell'eccessiva sicurezza con cui si pensa di poter disporre del mezzo informatico.
Torneremo più avanti su questi punti; limitiamoci, per ora, ad analizzare i rischi dal punto di vista della sicurezza della rete e della sua connessione.
Gli sniffer rappresentano un rischio elevato per una rete o per il pc dell'utente medio. La semplice esistenza di uno sniffer in rete rappresenta una falla e una minaccia alla sicurezza e alla riservatezza delle comunicazioni all'interno della rete stessa.
Se la LAN che utilizzate è sottoposta al controllo di uno sniffer ci sono due possibilità: un intruso, dall'esterno, è riuscito ad entrare all'interno della rete e installare lo sniffer, oppure un utente o il gestore della rete stessa sta combinando qualcosa che potrebbe andare ben oltre la manutenzione e il monitoraggio delle connessioni. In ogni caso la vostra privacy, o peggio la sicurezza stessa di tutte le comunicazioni, è compromessa.
Prendiamo come esempio la situazione che potrebbe interessare l'utente medio durante l'utilizzo delle reti universitarie:
se le connessioni utilizzate per accedere a Internet o le connessioni, poniamo, dal PC al Server dell'aula informatica, abitualmente usata dagli studenti, sono monitorate da uno sniffer, qualsiasi dato sensibile in passaggio sulla LAN controllata è a rischio d'intercettazione e successiva archiviazione (e magari utilizzo).
In base alla quantità di traffico prodotto e alla quantità di traffico raccolta dallo sniffer (abbiamo visto come cio' dipenda dalle scelte di chi installa lo sniffer e in base alla 'memoria' disponibile) possiamo stabilire che i dati maggiormente a rischio sono proprio le password personali utilizzate per accedere ai più svariati servizi di rete (login utente, accesso al proprio spazio su disco) o servizi internet (la vostra mail-box!), poichè la richiesta d'accesso e, quindi, di invio della password rientra nei primi pacchetti che vengono inviati per ogni tentativo di connessione al servizio prescelto dall'utente ed è il primo dato che viene filtrato dallo sniffer.
Generalmente, poi, i servizi in rete o web utilizzano protocolli d'utenticazione del tutto in chiaro (non cifrati).
Dal punto di vista dell'analista di sicurezza lo sniffing è un attacco di secondo livello. L'intruso si è gia' introdotto nella rete e ora cerca di compromettere maggiormente la sicurezza del sistema.
Comunque, ciò che può essere raccolto dallo sniffer, non è rappresentato solamente dagli elenchi degli utenti o le password d'accesso ai servizi ma può contenere dati che spaziano dal numero della (onnipresente) carta di credito ad altri dati finanziari, fino al testo del messaggio spedito via e-mail.
Come si diceva prima è improbabile che uno sniffer sia dotato di supporti che gli permettano di catturare tutto il traffico in passaggio su un dato network; in più all'aumentare del traffico in una rete aumentano anche i pacchetti che saranno persi: dai rapporti tecnici relativi agli sniffer è emerso che, in network dotati di connessioni ad alta velocità e con volumi di traffico elevati, una parte considerevole dei dati sfugge alla cattura dello sniffer.
D'altro canto questo non significa che una rete più grande fornisca una maggiore sicurezza ai suoi utenti.
Indice 1. Introduzione 2. Cos'è una rete locale ed il protocollo Ethernet? 3. Cosa significano pacchetto e Promiscuous Mode? 4. MAC address e indirizzi IP (Differenza tra Sniffer e “Key Lo 5. Possibile collocazione di uno Sniffer - Livelli di rischio 6. Sistemi operativi e Sniffer 7. Come fregare uno Sniffer 8. Come individuare uno Sniffer 9. Conclusioni 10. Note e Glossario |
Guide correlate a "": |