Hacking etico - Sniffing
Lo sniffing è il processo di monitoraggio e acquisizione di tutti i pacchetti che passano attraverso una data rete utilizzando strumenti di sniffing. È una forma di "intercettazione dei fili del telefono" e conoscenza della conversazione. È anche chiamatowiretapping applicato alle reti informatiche.
Ci sono così tante possibilità che se una serie di porte dello switch aziendale è aperta, uno dei loro dipendenti può fiutare l'intero traffico della rete. Chiunque si trovi nella stessa posizione fisica può collegarsi alla rete utilizzando un cavo Ethernet o connettersi in modalità wireless a quella rete e annusare il traffico totale.
In altre parole, lo sniffing ti consente di vedere tutti i tipi di traffico, sia protetto che non protetto. Nelle giuste condizioni e con i protocolli giusti, una parte attaccante potrebbe essere in grado di raccogliere informazioni che possono essere utilizzate per ulteriori attacchi o per causare altri problemi alla rete o al proprietario del sistema.
Cosa si può annusare?
Si possono annusare le seguenti informazioni sensibili da una rete:
- Traffico e-mail
- Password FTP
- Traffico web
- Password Telnet
- Configurazione del router
- Sessioni di chat
- Traffico DNS
Come funziona
Uno sniffer normalmente trasforma la scheda NIC del sistema in promiscuous mode in modo che ascolti tutti i dati trasmessi sul suo segmento.
La modalità promiscua si riferisce al modo unico dell'hardware Ethernet, in particolare, le schede di interfaccia di rete (NIC), che consente a un NIC di ricevere tutto il traffico sulla rete, anche se non è indirizzato a questo NIC. Per impostazione predefinita, una scheda NIC ignora tutto il traffico non indirizzato ad essa, il che viene fatto confrontando l'indirizzo di destinazione del pacchetto Ethernet con l'indirizzo hardware (noto anche come MAC) del dispositivo. Sebbene ciò abbia perfettamente senso per il networking, la modalità non promiscua rende difficile utilizzare il monitoraggio della rete e il software di analisi per diagnosticare problemi di connettività o contabilità del traffico.
Uno sniffer può monitorare continuamente tutto il traffico verso un computer attraverso la NIC decodificando le informazioni incapsulate nei pacchetti di dati.
Tipi di fiuto
Lo sniffing può essere di natura attiva o passiva.
Sniffing passivo
Nello sniffing passivo il traffico è bloccato ma non viene alterato in alcun modo. Lo sniffing passivo consente solo l'ascolto. Funziona con i dispositivi Hub. Su un dispositivo hub, il traffico viene inviato a tutte le porte. In una rete che utilizza hub per connettere i sistemi, tutti gli host sulla rete possono vedere il traffico. Pertanto, un utente malintenzionato può facilmente acquisire il traffico in transito.
La buona notizia è che gli hub sono quasi obsoleti al giorno d'oggi. La maggior parte delle reti moderne utilizza interruttori. Quindi, lo sniffing passivo non è più efficace.
Sniffing attivo
Nello sniffing attivo, il traffico non è solo bloccato e monitorato, ma può anche essere alterato in qualche modo come determinato dall'attacco. Lo sniffing attivo viene utilizzato per rilevare una rete basata su switch. Implica l'iniezioneaddress resolution packets (ARP) in una rete di destinazione per inondare lo switch content addressable memoryTabella (CAM). CAM tiene traccia di quale host è connesso a quale porta.
Di seguito sono riportate le tecniche di sniffing attivo:
- MAC Flooding
- Attacchi DHCP
- Avvelenamento da DNS
- Attacchi di spoofing
- Avvelenamento da ARP
Protocolli interessati
I protocolli come il vero e collaudato TCP / IP non sono mai stati progettati pensando alla sicurezza e quindi non offrono molta resistenza a potenziali intrusi. Diverse regole si prestano a un facile annusare -
HTTP - Viene utilizzato per inviare informazioni in chiaro senza crittografia e quindi un vero obiettivo.
SMTP(Simple Mail Transfer Protocol): l'SMTP è fondamentalmente utilizzato nel trasferimento delle e-mail. Questo protocollo è efficiente, ma non include alcuna protezione contro lo sniffing.
NNTP (Network News Transfer Protocol) - Viene utilizzato per tutti i tipi di comunicazioni, ma il suo principale svantaggio è che i dati e persino le password vengono inviati sulla rete come testo in chiaro.
POP(Post Office Protocol) - POP è strettamente utilizzato per ricevere e-mail dai server. Questo protocollo non include la protezione contro lo sniffing perché può essere intrappolato.
FTP(File Transfer Protocol) - FTP viene utilizzato per inviare e ricevere file, ma non offre alcuna funzionalità di sicurezza. Tutti i dati vengono inviati come testo in chiaro che può essere facilmente fiutato.
IMAP (Internet Message Access Protocol) - IMAP è uguale a SMTP nelle sue funzioni, ma è altamente vulnerabile allo sniffing.
Telnet - Telnet invia tutto (nomi utente, password, sequenze di tasti) sulla rete come testo in chiaro e, quindi, può essere facilmente individuato.
Gli sniffer non sono utilità stupide che ti consentono di visualizzare solo il traffico in tempo reale. Se vuoi davvero analizzare ogni pacchetto, salva l'acquisizione e rivedila ogni volta che il tempo lo consente.
Analizzatori di protocollo hardware
Prima di entrare in ulteriori dettagli sugli sniffer, è importante discuterne hardware protocol analyzers. Questi dispositivi si collegano alla rete a livello hardware e possono monitorare il traffico senza manipolarlo.
Gli analizzatori di protocollo hardware vengono utilizzati per monitorare e identificare il traffico di rete dannoso generato dal software di hacking installato nel sistema.
Acquisiscono un pacchetto di dati, lo decodificano e ne analizzano il contenuto in base a determinate regole.
Gli analizzatori di protocollo hardware consentono agli aggressori di vedere i singoli byte di dati di ogni pacchetto che passa attraverso il cavo.
Questi dispositivi hardware non sono prontamente disponibili per la maggior parte degli hacker etici a causa del loro enorme costo in molti casi.
Legale intercettazione
Lawful Interception (LI) è definito come l'accesso legalmente sanzionato ai dati della rete di comunicazione come telefonate o messaggi di posta elettronica. LI deve sempre essere perseguito da un'autorità legittima ai fini dell'analisi o della prova. Pertanto, LI è un processo di sicurezza in cui un operatore di rete o un fornitore di servizi concede alle forze dell'ordine il permesso di accedere alle comunicazioni private di individui o organizzazioni.
Quasi tutti i paesi hanno redatto e promulgato leggi per regolamentare le procedure di intercettazione legale; i gruppi di standardizzazione stanno creando le specifiche della tecnologia LI. Di solito, le attività di LI sono svolte a scopo di protezione dell'infrastruttura e sicurezza informatica. Tuttavia, gli operatori di infrastrutture di rete private possono mantenere le capacità di LI all'interno delle proprie reti come un diritto intrinseco, salvo diversa proibizione.
LI era precedentemente noto come wiretapping ed esiste sin dall'inizio delle comunicazioni elettroniche.