Cos’è lo sniffing e come difendersi da questi attacchi

Tra le tante tecniche utilizzate dai pirati informatici per intercettare il traffico di dati (anche sensibili) inseriti da un utente durante le sue fasi di navigazione tra le numerose pagine internet, ce n’è una che appare impercettibile e di difficile individuazione. Questa imperscrutabilità è dovuta al fatto che questa dinamica si innesti attraverso la presenza di software “legali”, ovvero presenti su un pc (o installati successivamente dall’utente) che vengono utilizzati al fine di monitorare il traffico di una rete per verificare il suo corretto funzionamento. Ma proprio in questo limbo arriva il rischio che tutto ciò diventi uno strumento utile per gli hacker che potrebbero utilizzare questa sponda per intercettare questo traffico di dati (passivamente o attivamente) ed entrare in possesso di credenziali e altro. Proviamo a spiegare lo sniffing: cos’è, come funziona e come difendersi.

LEGGI ANCHE > La mail truffa di McAfee afferma che ti avverte del “dispositivo a rischio” è phishing

Iniziamo dando una connotazione linguista al concetto di “sniffing cos’è“, partendo proprio dall’etimologia del termine e della sue estensione in termini meramente legati all’informatica e alla cyber security. Ovviamente, come spesso capita in questi casi, tutto deriva dal vocabolario anglosassone: il verbo “to sniff”, nei suoi primi significati, vuol dire “annusare, fiutare”. E già questa traduzione aiuta a capire la tipologia di attacco. Ma il Garzanti Linguistica ci offre una definizione molto ben precisa, legata proprio al macro-tema della sicurezza informatica: «Attività di intercettazione dei dati in transito in una rete telematica, che può avere lo scopo di risolvere problemi tecnici o di evitare intrusioni, oppure può essere fatta per scopi illeciti (ottenere password, codici per l’home banking, dati sensibili ecc.)».

Lo sniffing, cos’è?

Un quadro generale, dunque, che ci dà una connotazione e una risposta ben precisa alla domanda “sniffing, cos’è?”. Ma questo non è sufficiente perché questa definizione può essere attribuita a una moltitudine di attacchi informatici atti a “rubare” dati sensibili inseriti dall’utente all’interno di un’interfaccia online. Per esempio, in passato abbiamo utilizzato un’accezione simile anche per dinamiche come il “Man-in-the-middle” o il “Browser-in-the-browser“. Le differenze, dunque, si basano sulle tecniche e gli strumenti utilizzati per condurre questo tipo di attacco. Innanzitutto, a differenza dei due esempi citati, occorre sottolineare come lo “sniffer”, per sua natura, non sia necessariamente uno strumento dannoso. Anzi: si tratta di un software legale che viene utilizzato per analizzare e monitorare il traffico in rete e mettere in evidenza eventuali criticità. Per dirla in parole semplici: un software che, monitorando la rete e i suoi contenuti, valuta lo stato di salute della stessa. Un indicatore che, dunque, può essere molto utile anche all’utente stesso o al titolare e/o gestore di un’infrastruttura digitale.

Sniffing di rete cos’è: dall’attivo al passivo

Questa, dunque, è la definizione che – però – deve essere declinata in base alle tipologie di sniffing di rete. E ce ne sono due. La prima tecnica è attiva: il pirata informatico riesce – sfruttando quei software o hardware – a entrare nella rete acquisendo l’indirizzo IP di una connessione (quindi di un utente), riuscendo a superare tutti i blocchi. Questo consente all’hacker di “spacciarsi” per un altro, riuscendo ad alterare la trasmissione di quei dati trasmessi. Poi c’è quello passivo: si tratta dello sniffing più puro, ovvero quello che avviene intercettando i dati di monitoraggio da parte di quello specifico software. Non si entra, dunque, direttamente nella rete e non si passa attraverso l’ottenimento dell’indirizzo IP della “vittima”. Questo sistema, ovviamente, è più difficile da individuare e, dunque, da “combattere”.

Per entrambi i casi, occorre evidenziare delle dinamiche che sono alla base di questa violazione. Perché il software viene “piazzato” nei pressi di connessioni WI-FI non sicure. Solitamente, dunque, in quei luoghi (pubblici) in cui gli utenti si connettono alle reti pubbliche gratuite (quelle prive di password o con password di pubblico dominio). Ed è lì che riescono a inserirsi, a intercettare ed entrare in possesso di quei dati sensibili che un utente – ignaro di essere “monitorato” – inserisce all’interno dei vari form online. Dati come nome utente, password e credenziali varie. Anche quelle, nei casi più gravi, per accedere a conti correnti bancari online. Non si tratta, dunque, di un problema da poco e si inserisce nell’ampissimo alveo delle minacce informatiche più invasive e con gli effetti nefasti più immediati.

Come difendersi dallo sniffing

Insomma, lo sniffing è quasi invisibile ed è difficile capire se qualche pirata informatico sia riuscito a carpire i nostri dati. Ovviamente, però, ci sono delle indicazioni, dei suggerimenti e dei consigli per cercare di non cadere in questa trappola online. La prima, che vale per tutte le modalità di attacco online, è quella di non utilizzare connessioni pubbliche (non protette) per accedere a portali in cui siamo “costretti” a inserire i nostri dati sensibili e le nostre password. Per fare un esempio: è sempre sconsigliato collegarsi alla propria home-banking in queste occasioni. Stesso discorso per tutte quelle altre “posizioni” online che contengono questa tipologia di dati.

Ma c’è anche un altro modo per individuare e rendersi conto di essere vittima di uno sniffing attack. Potremmo chiamarla tecnica dello specchio riflesso: installando sul proprio dispositivo un software sniffer, infatti, è possibile monitorare il proprio traffico di dati. Questo sistema permette di capire se i nostri dati di navigazione siano stati intercettati da qualche pirata informatica che si è intrufolato nella nostra rete (o nella rete pubblica utilizzata). Ovviamente, però, questa tecnica funziona soprattutto nei casi di sniffing passivo e meno per quel che riguarda i casi di sniffing attivo.

Le altre tecniche, invece, sono molto più basilari. In commercio, infatti, ci sono moltissimi software (anche antivirus) in grado di individuare eventuali violazioni. Attraverso lo screening del proprio dispositivo, infatti, sarà possibile individuare le attività malevole di alcuni software che sono stati installati. E, dunque, sarà possibile rimuovere quel software. Ma per rendere sicuro il proprio pc è necessario non solo disinstallare il “programma incriminato”, ma anche rimuovere tutte le cartelle a esso legate. Perché all’interno di queste ultime potrebbero ancora annidarsi delle informazioni sensibili accumulate nel corso del tempo.