Gli sniffer sono noti con molti termini diversi, tra cui sniffer di pacchetti, analizzatori di pacchetti, probe di rete, sniffer wireless e sniffer Ethernet. "Sniffer" con la S maiuscola si riferisce allo strumento con marchio registrato di NetScout, che permette agli amministratori di rete di monitorare la larghezza di banda, per evitare che qualcuno usi una parte eccessiva della capacità. Con la s minuscola, il termine "sniffer" si riferisce a tutti gli altri tipi di sniffer di pacchetti, sia sicuri sia nocivi.
Sebbene gli sniffer non siano veri e propri virus, possono contenere malware ed essere utilizzati dagli hacker per spiare la tua attività online, registrando tutto ciò che fai, inclusi nomi utente e password, dati della carta di credito e altre informazioni private.
Per che cosa viene usato un software di sniffing di rete?
In origine, gli sniffer sono stati progettati per essere usati da tecnici di rete professionisti e amministratori di sistema per monitorare il traffico e verificare la sicurezza delle reti. Sfortunatamente, gli hacker di oggi possono sfruttare a proprio vantaggio il software di sniffing disponibile online.
Utilizzi degli sniffer legali
La maggior parte degli sniffer legittimi viene usata per mantenere un flusso di traffico uniforme in una rete. Ecco alcuni dei molti modi legali in cui gli sniffer di rete vengono utilizzati dai professionisti della sicurezza informatica, dagli amministratori di sistema e dai tecnici di rete:
-
Per mantenere un flusso di traffico uniforme
-
Per acquisire pacchetti di dati che viaggiano attraverso una rete
-
Per registrare e analizzare il traffico
-
Per il test del firewall
-
Per il decriptaggio di pacchetti
-
Per la risoluzione dei problemi di rete
-
Per rilevare malware o attività di hacking
In che modo gli hacker utilizzano gli sniffer?
Gli hacker utilizzano il software sniffer per acquisire, decodificare e analizzare i pacchetti di dati inviati su una rete tramite TCP/IP o altri protocolli. Utilizzando strumenti di sniffing di pacchetti, gli hacker riescono a spiare le persone e rubarne i dati personali, spesso con il furto di identità o altre frodi come obiettivo finale.
Gli hacker utilizzano gli sniffer per:
-
Acquisire informazioni private come nomi utente, password, numeri di carta di credito e così via
-
Registrare comunicazioni come email e messaggistica istantanea
-
Commettere frodi sulle identità
-
Commettere frodi finanziarie
Come funziona uno sniffer?
Il funzionamento degli sniffer si basa sull'acquisizione del traffico Internet e sull'analisi dei flussi di dati per scoprire la natura (o persino i contenuti specifici) dei dati inviati attraverso una rete.
Proprio come le auto costituiscono il traffico stradale, il traffico Internet è formato da pacchetti di dati che viaggiano su una rete. In genere si ignora la maggior parte delle auto che passano, ma è probabile che si voglia indagare se un camion si ferma sul passo carraio di casa. Analogamente, il computer ignora la maggior parte del traffico che viaggia in rete ed esamina solo i pacchetti di dati specifici che riceve direttamente.
Gli sniffer sono una specie di casello e hanno la funzione di esaminare tutte le auto che passano per strada, non solo quelle che parcheggiano davanti a un passo carraio. Gli sniffer non filtrati controllano ogni auto, raccogliendo tutto il traffico che viaggia attraverso una rete. Gli sniffer filtrati sono configurati per esaminare solo determinati tipi di traffico.
Gli sniffer di pacchetti acquisiscono e analizzano i pacchetti di dati che viaggiano in rete.
Sniffer software e sniffer hardware
Gli sniffer possono essere software o hardware. Gli amministratori di rete o di sistema possono eseguire lo sniffing del traffico utilizzando hardware come i router con funzionalità di sniffing integrate. Un dispositivo hardware di sniffing è costituito da un adattatore speciale che si aggancia alla rete esistente. L'adattatore raccoglie i dati e li archivia o li invia a un collettore per l'ulteriore ispezione.
Gli hacker tendono invece a utilizzare i software di sniffing. Normalmente, i computer ignorano tutto il traffico diretto altrove in una rete, ma fondamentalmente le applicazioni software di sniffing modificano le impostazioni e le autorizzazioni di un computer in modo che possa raccogliere e copiare tutti i pacchetti di dati disponibili sulla rete. In questo modo, gli hacker possono archiviare tutti i dati di rete e analizzarli in un secondo momento. Questo tipo di sniffing è noto come modalità promiscua ed è tanto sospetto e privo di limitazioni quanto suggerisce il nome.
Sebbene non esistano siti Web di sniffing, si possono incontrare sniffer visitando siti non sicuri che scaricano automaticamente app di sniffing. Oppure si può cadere vittime di una truffa di phishing che include allegati o collegamenti infetti. Un altro modo per diventare vittime dello sniffing è utilizzare reti Wi-Fi non protette.
Sniffing passivo e sniffing attivo
Esistono due tipi di sniffing: attivo e passivo. Lo sniffing passivo può acquisire il traffico senza un'interazione diretta, tuttavia alcune reti richiedono un approccio più attivo allo sniffing, che comporta l'interruzione dei protocolli di traffico per intercettare i dati.
Se la rete è strutturata tramite hub, che connettono tra loro diversi dispositivi in una rete, tutto il traffico circola liberamente. Di conseguenza, il tuo computer riceve effettivamente tutto il traffico nella rete, ma ignora tutto quello che non vi è destinato direttamente. Uno sniffer può sbirciare passivamente e, invece di ignorare il traffico non pertinente, assorbirlo tutto. Questo tipo di sniffing passivo è piuttosto difficile da rilevare.
Nelle reti più grandi non è possibile che tutto il traffico raggiunga tutti i dispositivi, quindi si utilizzano switch di rete per instradare il traffico solo al dispositivo specifico a cui è indirizzato. Perché lo sniffing abbia successo in questo tipo di ambiente, un hacker deve superare i vincoli applicati dagli switch, ovvero ricorrere allo sniffing attivo. Questo avviene in genere tramite lo spoofing della rete con traffico aggiuntivo, pertanto lo sniffing attivo è di norma più facile da rilevare di quello passivo.
Quali informazioni possono essere trovate da uno sniffer di pacchetti?
Gli sniffer di pacchetti possono essere utilizzati per raccogliere praticamente tutti i dati o le comunicazioni condivise su una rete. Uno sniffer di pacchetti può registrare le tue password e credenziali di accesso, vedere quali siti visiti e che cosa fai in quei siti e scoprire il tuo indirizzo IP e la tua posizione fisica. Le aziende utilizzano gli sniffer per monitorare l'attività sulle loro reti ed eseguire una scansione del traffico alla ricerca di malware.
A differenza di altre forme meno invasive di spionaggio, come il tracciamento delle pubblicità, non c'è praticamente alcun limite al tipo di informazioni che possono essere intercettate e acquisite dagli sniffer di pacchetti ed è per questo che, nelle mani sbagliate, possono essere strumenti davvero pericolosi.
Gli sniffer di pacchetti possono raccogliere quasi tutti i dati o le comunicazioni condivise su una rete.
Esempi di sniffer di pacchetti
Esistono svariati strumenti di sniffing gratuiti o economici disponibili online. La maggior parte viene commercializzata allo scopo di insegnare ad acquisire e analizzare il traffico di rete per risolvere eventuali problemi. Soluzioni come Wireshark e CloudShark vengono fornite solo per usi legittimi. Altre, come quella dal nome sfacciato BUTTsniffer, sono più trasparenti riguardo alle possibili applicazioni per scopi efferati.
Seguendo i nostri suggerimenti qui sotto per la prevenzione, dovresti evitare di imbatterti in qualche sniffer.
Come proteggere il tuo sistema da uno sniffer
Come dice il detto, "prevenire è meglio che curare", un'affermazione quanto mai vera se applicata agli sniffer di rete. Ecco come prevenire gli attacchi di sniffing:
-
Usa un software antivirus affidabile: un antivirus efficace impedisce l'ingresso di malware nel sistema. Rileva inoltre tutto quello che non dovrebbe essere presente in un computer, come uno sniffer, e permette di eliminarlo. AVG AntiVirus Free ti offre tutta la protezione necessaria e ti aiuta a rimuovere e prevenire i malware.
-
Evita le reti Wi-Fi pubbliche: le reti Wi-Fi aperte, come quelle disponibili in bar o aeroporti, spesso non sono sicure. Sebbene sia possibile navigare in sicurezza nelle reti Wi-Fi pubbliche, può essere facile per gli hacker eseguire lo sniffing dell'intera rete. È meglio evitare di utilizzarle senza una VPN.
-
Usa una VPN: una rete privata virtuale protegge tutti i dati inviati dal computer su Internet criptando la connessione e nascondendo l'indirizzo IP. Grazie all'uso di una VPN come AVG Secure VPN, uno sniffer che tenti di spiare il traffico vedrà solo informazioni incomprensibili, mentre i dati resteranno al sicuro.
-
Evita protocolli non sicuri: cerca il protocollo HTTPS (spesso indicato da un'icona a forma di lucchetto) nella barra degli indirizzi dei siti Web visitati. Ciò significa che il sito è sicuro e il traffico Web è criptato. Quando è possibile, è bene evitare i protocolli non sicuri come HTTP, soprattutto quando si effettuano operazioni bancarie o acquisti online.
-
Fai attenzione alle tecniche di ingegneria sociale: i criminali informatici utilizzano metodi come le email di spear phishing e i siti Web infetti per indurre le vittime a compromettere la propria sicurezza e a scaricare inconsapevolmente sniffer. Adotta tattiche di esplorazione intelligente e un po' di buon senso per evitare qualsiasi insidia.
Come individuare la presenza di uno sniffer nella rete
Gli sniffer passivi possono essere difficili da rilevare e, anche se lo sniffing attivo è leggermente più visibile, ti servirà comunque una certa esperienza tecnica. Se pensi che qualcuno stia eseguendo lo sniffing del tuo traffico, puoi eseguire un tuo sniffer e monitorare tutto il traffico DNS nella rete per rilevare qualsiasi attività ambigua.
In teoria, anche gli sniffer passivi più furtivi possono essere scoperti se sai davvero che cosa stai facendo, ma è necessario disporre dei privilegi di amministratore e del know-how adatto per capire se le interfacce sono state configurate in "modalità promiscua" (ad esempio, tramite il comando ifconfig in Linux).
Una soluzione più semplice e migliore è quella di affidarsi ai passaggi descritti sopra per prevenire lo sniffing dei pacchetti, in particolare utilizzando il miglior software antivirus e una rete privata virtuale (VPN) per criptare la connessione.
Come rimuovere uno sniffer
Se uno sniffer entra nel dispositivo, è necessario rimuovere immediatamente il software dannoso per proteggere la privacy. Puoi farlo manualmente controllando tutte le app nel computer e disinstallando quelle che sembrano sospette o che non ricordi di aver scaricato, ma potresti trovare un'app di sniffing che non può essere disinstallata.
In questo caso, devi usare uno strumento antimalware affidabile come AVG AntiVirus Free, che analizza e rimuove il software dannoso. Include anche alcune speciali misure di difesa contro download infetti, collegamenti non sicuri e allegati email dannosi, che costituiranno un'ulteriore prevenzione evitando che sniffer e altri virus infettino il dispositivo. Scarica AVG oggi stesso per bloccare le minacce online e mantenere privati i dati personali.