Sniffer: alleato o nemico?

Sicurezza

Cosa succederebbe se questo strumento potentissimo per analizzare quello che
transita sulla rete cadesse nelle mani sbagliate?

Lo sniffer è un qualsiasi strumento, software o hardware, che raccoglie le informazioni che viaggiano in rete. Questa rete puo’ utilizzare un protocollo di comunicazione qualunque: Ethernet, Tcp/Ip, Ipx o altri. Gli sniffer sono un rischio elevato per una rete e la semplice esistenza di un tale ‘controllore’ sui sistemi aziendali, può rappresentare una falla e una minaccia alla sicurezza e alla riservatezza di tutte le comunicazioni. Se la Lan che utilizzate è sottoposta al controllo di uno sniffer ci sono due possibilità: un intruso, dall’esterno, è riuscito a entrare all’interno della rete e a installare lo sniffer, oppure un utente o il gestore della rete stessa sta combinando qualcosa che potrebbe andare ben oltre la manutenzione e il monitoraggio delle connessioni. In ogni caso la vostra privacy, o peggio la sicurezza stessa di tutte le comunicazioni aziendali, può essere compromessa. Esiste una terza possibilità, e cioè che lo sniffer sia stato effettivamente collocato dal responsabile It al fine di monitorare le prestazioni della rete, individuare eventuali problemi e verificare la possibile esistenza d’intrusi.

Come funziona

I vari computer e server che costituiscono una rete aziendale sono a essa collegati tramite la cosidetta ‘scheda di rete'(ethernet adapter, o ethernet card). Queste schede possiedono il firmware necessario ad analizzare il traffico in transito sulla rete, e ad agganciare solo i pacchetti di dati che sono indirizzati alla macchina alla quale la particolare scheda di rete appartiene. Non è questa la sede per addentrarci troppo nei tecnicismi, basti sapere che ogni pacchetto è contenuto tra stringhe di dati alle quali sono affidate alcune importanti informazioni, tra le quali l’indirizzo della macchina alla quale sono destinati. La scheda di rete quando individua nella stringa identificativa del pacchetto di dati il proprio indirizzo risponde catturando il traffico in q uestione, altrimenti lo rilascia in modo che torni a transitare sulla rete alla ricerca del sistema al quale è destinato. Esiste una particolare configurazione della scheda di rete, chiamata ‘Promiscuous Mode’ che è alla base del concetto di funzionamento di uno sniffer. Il termine promiscuous mode si riferisce alla modalità di configurazione della scheda di rete in cui è permesso a tutte le macchine l’ascolto di tutto il traffico di rete, non solo quello proprio. Uno sniffer, dunque, non è altro che un software (o un hardware) che ascolta e non ignora i pacchetti che sono inviati lungo le connessioni, archiviando poi le informazioni di passaggio su supporti come dischi rigidi o altro.

Un prezioso alleato

Se utilizzato correttamente da personale autorizzato, lo sniffer diventa un utile e prezioso strumento di verifica e controllo, grazie al quale è possibile individuare problemi di comunicazione tra i diversi punti della rete e/o errori d’instradamento del traffico. In pratica, la funzione degli sniffer utilizzati correttamente si avvicina molto a quella degli Analizzatori di Rete (network analyzer)in grado di compilare statistiche sul traffico e sulla composizione dei pacchetti. Alcune delle funzioni tipiche degli sniffer utilizzati come strumento diagnostico possono essere le seguenti:

  • conversione e filtraggio dei dati e dei pacchetti in una forma leggibile dall’utente
  • analisi dei difetti di rete, ad es. perchè il computer ‘A’ non riesce a dialogare con ‘B’
  • analisi di qualità e portata della rete (performance analisys), ad es.per scoprire colli di bottiglia lungo la rete
  • setacciamento automatizzato di password e nomi di utenti (in chiaro o, piu’ spesso cifrati) per successiva analisi
  • creazione di log contenenti la traccia del traffico sulla rete
  • scoperta di intrusioni in rete attraverso l’analisi dei log del traffico

Un pericoloso nemico

Gli sniffer, se utilizzati in modo scorretto o da malintenzionati, possono rappresentare un rischio elevato per l’intera rete aziendale. In base alla quantità di traffico prodotto e alla quantità di traffico raccolta dallo sniffer è infatti possibile stabilire che i dati maggiormente a rischio sono le password personali. La richiesta d’accesso e, quindi, di invio della password rientra infatti nei primi pacchetti che vengono inviati per ogni tentativo di connessione al servizio prescelto dall’utente, ed è quindi anche il primo dato che viene filtrato dallo sniffer. Generalmente, poi, i servizi in rete o web utilizzano protocolli d’utenticazione del tutto in chiaro (non cifrati). Comunque, ciò che può essere raccolto dallo sniffer, non è rappresentato solamente dagli elenchi degli utenti o le password d’accesso ai servizi ma può contenere dati che spaziano dal numero della carta di credito ad altri dati finanziari, fino al testo del messaggio spedito via e-mail. Come si diceva prima,però, e’ improbabile che uno sniffer sia dotato di supporti che gli permettano di catturare tutto il traffico in passaggio su un dato network; in più all’aumentare del traffico in una rete aumentano anche i pacchetti che saranno persi: dai rapporti tecnici relativi agli sniffer è emerso che, in network dotati di connessioni ad alta velocità e con volumi di traffico elevati, una parte considerevole dei dati sfugge alla cattura dello sniffer. D’altro canto ciò non significa che una rete più grande fornisca, di per sè, una maggiore sicurezza ai suoi utenti.

Conclusioni

Come quasi tutti gli strumenti anche lo sniffer può essere utilizzato in modi completamente differenti e con fini contrapposti. Da un lato infatti se utilizzato correttamente da personale autorizzato può rivelarsi un’alleato insostituibile per verificare le prestazioni della rete aziendale, individuare eventuali malfunzionamenti ed aumentarne la sicurezza. Se un tale strumento dovesse invece cadere nelle mani di qualche malintenzionato, ecco che potrebbe essere utilizzato con altrettanta efficacia per minare la sicurezza dell’intera rete aziendale e la privacy degli utenti. In ogni caso, lo sniffer rappresenta uno strumento che non dovrebbe mai mancare nellla ‘borsa degli attrezzi’ dell’amministratore di rete. Nello stesso tempo lo sniffere rappresenta anche una minaccia verso la quale gli amministratori di sistemi devono sempre essere preparati.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore