Si tratta di due delle tattiche di attacco informatico più efficaci e, per questo, più utilizzate dagli hacker e dai criminali informatici in genere. Non è nemmeno troppo complicato capirne il perché: permettono di entrare in possesso, senza grosse difficoltà, delle credenziali di accesso di account di ogni genere (dalla posta elettronica al banking online), di appropriarsi dell'identità digitale di qualcun altro (traendone tutti i vantaggi del caso), di fingersi ciò che non si è (ad esempio un altro dispositivo di rete, con un indirizzo MAC contraffatto, un diverso server web, con un indirizzo IP falso) e agire indisturbati nella Rete.
Lo sniffing e lo spoofing, come è possibile capire dagli “effetti” che provocano, sono due armi molto potenti nelle mani dei pirati digitali. Ecco come funzionano.
Cos'è lo sniffing
Con il termine sniffing (dall'inglese to sniff e traducibile con “odorare”) in informatica – ma il discorso è valido anche per le telecomunicazioni in generale – si definisce l'attività di “intercettazione” passiva dei dati da parte di un utente della rete ai danni di uno o più utenti appartenenti alla stessa rete di calcolatori. L'attività di sniffing, di per sé, non è illegale: può essere messa in atto dagli amministratori di rete per rilevare eventuali guasti sulle linee portanti o per analizzare le prestazioni della rete stessa. Nella gran parte dei casi, però, le tecniche identificabili con questa “etichetta” sono messe in atto per scopi illeciti e contro la sicurezza informatica.
Lo sniffing è messo in atto con appositi programmi e applicativi chiamati sniffer: questi “agenti informatici” intercettano i singoli pacchetti dati che transitano all'interno di una rete in un determinato momento e li “smembrano” andando a decodificare le varie parti di cui sono composti. Analizzando le varie intestazioni a livello datalink, rete, trasporto e applicativo, gli sniffer sono in grado di recuperare informazioni di ogni tipo sulla comunicazione in atto tra due o più nodi della rete: dalla tipologia di dati scambiati, sino alle password per accedere alla rete Wi-Fi o, addirittura, le credenziali per l'accesso ai vari servizi web.
Le tecniche di sniffing da adottare all'interno di una rete LAN e all'interno di una rete geografica WAN si somigliano molto. In entrambi i casi, infatti, saranno messe in atto diverse varianti della cosiddetta tattica “Man in the middle”: per intercettare i pacchetti dati relativi a una comunicazione in corso tra due nodi della rete, un terzo nodo (inizialmente esterno alla comunicazione stessa) si inserisce nel mezzo agendo, da quel momento in poi, da “ponte” tra i due nodi iniziali. Questa operazione permette all’intruso di reperire le informazioni di cui è alla ricerca semplicemente osservando e copiando tutto il traffico in passaggio, senza destare alcun sospetto nei due nodi comunicanti che rimarranno convinti di essere in connessione diretta e quindi senza intermediari.
Lo sniffing in azione
Come detto, la tattica di sniffing più utilizzata è quella del Man in the middle, ovvero dell'uomo nel mezzo. Nella sua applicazione “standard”, si tratta di un attacco molto semplice, ma non per questo meno efficace. Nell'esempio classico, “A” e” B” condividono e utilizzano un mezzo di comunicazione (una rete telematica, ad esempio) per scambiarsi messaggi e informazioni, mentre “C” vorrebbe ascoltare i loro discorsi e, magari, inviare messaggi contraffatti a nome dei due interlocutori, ovviamente senza che essi se ne accorgano.
Per far questo, tutto ciò che C dovrà fare sarà “agganciarsi” alla rete telematica utilizzata da A e B per comunicare, interponendosi tra i due interlocutori e facendo finta di essere B, per l’interlocutore A e A per l’interlocutore B. Onde evitare che A e B sospettino di essere intercettati, C dovrà anche aver cura di inoltrare sempre tutti i messaggi ricevuti dai due interlocutori al destinatario corretto. A questo punto C avrà completo accesso alla comunicazione che intercorre tra A e B e pertanto potrà copiarla e/o alterarla a suo piacimento.
Cos'è lo spoofing
Come nel caso precedente, l'etimologia aiuterà a comprendere in maniera più efficacie di cosa si sta parlando. Spoof in inglese vuol dire “imbroglio”, “falsificazione dell'identità”: la tecnica dello spoofing, quindi, consiste nell'imbrogliare qualcuno (un nodo della rete o la persona che lo “gestisce”) facendogli credere di essere qualcun altro. Lo spoofing può essere messo in atto a qualunque livello del modello ISO/OSI (indirizzo MAC, indirizzo IP, UTC/UDP, eccetera) e oltre. A grandi linee, ad esempio, la social engineering può essere presa come esempio di spoofing.
L'IP spoofing, ad esempio, è utilizzato da hacker e criminali informatici nel tentativo di forzare i sistemi di sicurezza di una LAN casalinga o di una intranet aziendale. Capita, infatti, che l'accesso a queste reti locali sia basato sull'autenticazione dell'indirizzo IP: nel caso in cui la richiesta di accesso alle risorse arrivi da un indirizzo conosciuto, allora il firewall concede al pacchetto di transitare; in caso contrario la richiesta è rinviata al mittente. Grazie all'IP spoofing è possibile falsificare la propria identità (ovvero modificare l'indirizzo IP di provenienza) e ottenere l'autorizzazione all'accesso pur non avendone i requisiti.
Lo spoofing in azione
La “falsificazione” dell'iP è la tattica di spoofing più semplice e più frequentemente utilizzata dagli hacker. Un tale attacco è reso possibile da una sorta di falla presente nei router e nel protocollo di gestione del processo di routing. Affinché i pacchetti possano viaggiare all'interno di una rete informatica, infatti, non conta quale sia l'indirizzo IP di origine, ma solo quello di destinazione: i router leggono l'header, ricavano quale sia l'IP destinatario del pacchetto e ne “tracciano la rotta” nodo dopo nodo. Su questa base, un hacker può “pretendere” di essere uno dei nodi appartenenti alla rete attraverso il quale un certo pacchetto di dati deve passare riuscendo così a riceverlo e quindi ad appropriarsi delle informazioni in esso contenute.
Un pirata informatico che voglia accedere a una intranet aziendale, ad esempio, potrà creare un pacchetto dati con intestazione contraffatta: l'indirizzo IP di origine dovrà appartenere al range della rete aziendale (in modo da simulare l’origine “lecita” del pacchetto, come se provenisse da uno dei computer “interni” alla rete), mentre l'indirizzo IP di destinazione potrà essere anche esterno alla rete (ad esempio un server web sotto il controllo dell’hacker). I sistemi di sicurezza della intranet aziendale non rileveranno alcuna anomalia né alcun tentativo di intrusione dall'esterno nel processare quella comunicazione telematica, mentre il router si occuperà di rispondere alle richieste in arrivo, girando i pacchetti dati all'indirizzo IP di destinazione indicato a inizio comunicazione.