Sniffing, minaccia subdola da non sottovalutare

Motivi, prospettive e ricerche su uno degli attacchi più insidiosi che possono subire le reti informatiche delle aziende

La pericolosità delle reti informatiche è dovuta anche alla velocità con la quale si possono sottrarre informazioni confidenziali. Potremmo dire che il sogno di qualsiasi spia del Novecento, di accedere in maniera trasparente a tutta la corrispondenza del proprio obiettivo, si è avverato con le reti informatiche e, in particolare, con il fenomeno dello sniffing.


Grazie a questa procedura, infatti, per l’attaccante è possibile acquisire senza autorizzazione il traffico presente su di una rete. I risultati per l’autore della "impresa", in termini di informazioni acquisite, possono essere molto interessanti: un attaccante è in grado di leggere e-mail, allegati e fare copia di username password che passino in chiaro sulla rete. In passato, le postazioni di lavoro erano collegate tra loro dagli hub: in questo caso bastava settare la propria scheda di rete in modalità promiscua per "sniffare" il traffico di tutti gli altri computer collegati sullo stesso hub. Con l’uso degli switch il fenomeno sembrava destinato a scomparire, invece l’argomento è ai primi posti per quanto riguarda le minacce potenziali alle aziende. I motivi sono molteplici. Innanzitutto il fatto che i computer siano connessi agli switch non è una limitazione insuperabile, ad esempio si possono utilizzare delle tecniche basate sull’invio di particolari pacchetti ARP (Addrress resolution protocol). L’ARP spoofing potrebbe essere veicolato tramite un allegato di posta, un worm o un virus. Riuscendo a mandare in esecuzione su un computer remoto un simile software, un attaccante potrebbe intercettare da remoto tutto il traffico presente sulla rete del computer infettato. Un altro problema è dato dal grande numero di consulenti presenti nelle aziende che, quotidianamente, possono approfittare della loro connessione alla rete, per cercare di accedere a dati altrimenti a loro preclusi. Il motivo centrale del rinato interesse intorno allo sniffing è, però, legato alla diffusione delle tecnologia Voice over IP (VOIP). Questa consiste nella digitalizzazione delle conversazioni telefoniche e nel loro instradamento (in maniera analoga a qualsiasi altro dato) sulla rete Internet. Un sistema hardware-software specifico svolge le funzioni del telefono e rende questo servizio fondamentalmente indistinguibile da quello telefonico classico. Le aziende sono spinte ad adottare questa tecnologia in primis per i possibili risparmi (nell’ordine del 90%) sui costi telefonici. Tuttavia, se prima era molto difficile riuscire a intercettare una conversazione telefonica, perché bisognava aver accesso fisico agli impianti e un’ottima conoscenza del funzionamento dei sistemi telefonici, con il VOIP queste limitazioni cadono completamente. E lo sniffing permette di "selezionare" le vittime di tale intercettazione, consentendo, ad esempio, a organizzazioni di spionaggio industriale o malavitose di carpire informazioni riservate da rivendere. I recenti scandali in Israele, legati allo spionaggio industriale tra compagnie telefoniche, lo dimostrano.

Le strategie di contrasto


La soglia di conoscenza necessaria per intercettare una telefonata VOIP, tramite lo sniffing, è decisamente bassa. Per chi si occupa di innovazione, quindi, questo fenomeno è tutt’altro che su un binario morto ma risulta, anzi, al centro di studi. Tra le nuove tecniche sperimentali per il suo contrasto si annoverano quelle legate, ad esempio, al rilevamento della modalità delle schede di rete oppure al perfezionamento di algoritmi di blocco di certi pacchetti da far girare sugli switch per prevenire l’ARP spoofing. Altre strategie per limitare le conseguenze dello sniffing si basano sulla cifratura del traffico. L’adozione di protocolli criptati per il controllo remoto dei dispositivi, e il conseguente abbandono di protocolli in chiaro come Telnet, impedisce all’attaccante di capire il contenuto dei pacchetti che intercetta. In questo caso, pertanto, almeno la riservatezza dell’informazione è salva.


Nelle grandi organizzazioni, la prevenzione di questo come di altri problemi di sicurezza non può essere estemporanea e si predilige l’adozione di sistemi di monitoraggio che consentano di rendere i controlli sistematici e, se possibile, coordinare tutti gli strumenti di analisi dei parametri di sicurezza tra loro. Non conta, quindi, solo l’efficacia nel rilevamento dello sniffing ma anche della sua tempestiva notifica all’amministratore competente.


Speculazioni fatte dall’analisi comparata con altri log possono evidenziare forme di attacchi informatici basati su più tecniche. Considerando tutti i dati dei diversi sistemi di rilevazione come ingressi di un algoritmo è, poi, possibile calcolare in tempo reale un indice di rischio molto efficace per riassumere e comunicare la situazione di reti complesse a figure aziendali di profilo non tecnico. Un componente rilevante della sicurezza delle reti informatiche è rappresentato dalla sicurezza delle comunicazioni che vi transitano. Tutti gli elementi che possono corrompere l’integrità, la riservatezza o l’autenticità dei messaggi devono essere contrastati ed eliminati velocemente e, soprattutto, efficacemente. Studi sul futuro di Internet lasciano intendere che lo sniffing non sia un problema superato, ma una minaccia futura: la prevenzione sarà la prima linea di difesa, ma riconoscere di essere sotto attacco sarà fondamentale.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here