Sniffing

attività di intercettazione passiva dei dati che transitano in una rete telematica
(Reindirizzamento da Sniffer)

Con sniffing (dall'inglese, odorare), in informatica e nelle telecomunicazioni, si definisce l'attività di intercettazione passiva dei dati che transitano in una rete telematica: può essere svolta sia per scopi legittimi (ad esempio l'analisi e l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti contro la sicurezza informatica (intercettazione fraudolenta di password o altre informazioni sensibili).

Screenshoot di Wireshark, un famoso packet sniffer ad interfaccia grafica

I prodotti software utilizzati per eseguire queste attività vengono detti sniffer e oltre a intercettare e memorizzare il traffico offrono funzionalità di analisi del traffico stesso: questi intercettano i singoli pacchetti, decodificando le varie intestazioni di livello datalink, rete, trasporto, applicativo, potendo offrire inoltre strumenti di analisi per valutare il comportamento dei protocolli di rete o per ricostruire lo scambio di dati tra le applicazioni.

Metodologie

modifica

Rete locale

modifica
 
Screnshot di tcpdump, un popolare packet sniffer con interfaccia a riga di comando

Il traffico può essere intercettato da uno degli host coinvolti nella comunicazione, indipendentemente dal tipo di interfaccia di rete su cui viene inviato.

Per intercettare i dati che circolano su una determinata LAN è necessario possedere o ottenere l'accesso fisico al mezzo trasmissivo oppure avere l'accesso remoto (tramite telnet, SSH, VNC o altro) e privilegi amministrativi su un host fisicamente connesso alla rete in questione.

Rete ethernet non-switched

modifica

In questo tipo di reti ethernet il mezzo trasmissivo (cavo coassiale o, attualmente, cavo UTP o STP connesso a un hub) è condiviso, quindi tutte le schede di rete dei computer nella rete locale ricevono tutti i pacchetti, anche quelli destinati ad altri, selezionando i propri a seconda dell'indirizzo MAC (indirizzo hardware univoco della scheda di rete).

Lo sniffing in questo caso consiste nell'impostare sull'interfaccia di rete la cosiddetta modalità promiscua, che disattivando questo "filtro hardware" permette al sistema l'ascolto di tutto il traffico passante sul cavo.

Rete ethernet switched

modifica

In questo caso l'apparato centrale della rete, definito switch, si occupa di inoltrare su ciascuna porta solo il traffico destinato al dispositivo collegato a quella porta: ciascuna interfaccia di rete riceve, quindi, solo i pacchetti destinati al proprio indirizzo e i pacchetti di broadcast.

L'impostazione della modalità promiscua è quindi insufficiente per poter intercettare il traffico in una rete gestita da switch. In questo caso ci si può collegare a una porta chiamata "Switched Port Analyzer" (SPAN) nella terminologica di Cisco, "Roving Analysis" per 3Com e "port mirroring" per gli altri produttori che riceve il traffico circolante su tutte le porte dello switch.

Alcuni metodi per poter ricevere tutto il traffico dallo switch da una porta qualunque sono il MAC flooding, l'ARP poisoning e il port stealing.

Rete geografica

modifica

Per intercettare i dati che transitano su reti geografiche si utilizzano tecniche Man in the middle analoghe a quelle accennate in precedenza, operanti però a livello più alto: possono intervenire a livello di instradamento del traffico IP (routing) oppure inviare alle vittime informazioni fasulle per quanto riguarda la corrispondenza tra nomi di dominio e indirizzi IP sfruttando l'assenza di autenticazione del sistema DNS.

Strumenti

modifica

Per condurre l'intercettazione delle comunicazioni e l'analisi dei relativi dati, esistono appositi strumenti, chiamati analizzatori di rete o sniffer. Si tratta di elementi software o un hardware dedicati a questo genere di attività, che quantomeno sono in grado di memorizzare i dati ottenuti in un formato adatto al loro trattamento esterno e di gestire le configurazioni delle interfacce di rete. Gli analizzatori spesso integrano anche funzionalità di ordinamento e filtraggio dei dati, a seconda della pila di incapsulamento dei protocolli dei diversi livelli di rete, p.es. HTTP, TCP, IP, 802.11.

Tra i software più comuni, con licenza libera e disponibili per le più diffuse piattaforme, quali la famiglia Unix, Microsoft Windows e macOS, si ricordano: tcpdump, uno strumento con interfaccia a riga di comando per condurre mera intercettazione e Wireshark, che offre invece tutte le citate funzionalità di analisi attraverso un'interfaccia grafica.

Modalità di difesa

modifica
  • Una soluzione open source è ArpON "ARP handler inspection". ArpON è un demone portabile che rende il protocollo ARP sicuro contro attacchi Man in The Middle (MITM) attraverso tecniche ARP Spoofing, ARP Cache Poisoning, ARP Poison Routing (APR).
  • Cifratura del traffico, in particolare delle informazioni sensibili.
  • Utilizzo di strumenti software in grado di rilevare la presenza di sniffer nella rete.
  • Rafforzamento della sicurezza dei protocolli di rete.

Utilizzo a tutela del diritto d'autore

modifica
  Lo stesso argomento in dettaglio: Diritto d'autore e Privacy.

Lo sniffing pone problemi di privacy in quanto accede senza mandato e a insaputa dell'utente a un computer che è sua proprietà privata nonché a una rete che è proprietà di chi diffonde il software di accesso. In generale, l'accesso a un'abitazione o altra proprietà privata per una perquisizione richiede un mandato della magistratura e che esso sia mostrato al proprietario del bene perquisito.

I dati forniti dall'Internet Service Provider non identificano la persona, ma l'utenza telefonica. Non necessariamente poi la persona che ha commesso il fatto è un componente del nucleo familiare, al quale è intestata l'utenza. Tramite un WISP o una rete wireless domestica è più facile che si verifichino violazioni della rete e accessi abusivi dall'esterno. La non-identificazione di chi commette materialmente il fatto esclude un nesso di causalità fra la connessione alla rete P2P e la violazione del diritto d'autore, e non è una prova sufficiente per gli effetti penali previsti dalla legge. Per l'ambito penale, serve un accertamento univoco e inequivocabile della persona e delle responsabilità. Tuttavia, il titolare della utenza telefonica può essere ritenuto responsabile della sua sicurezza e del suo utilizzo, e rispondere dell'illecito amministrativo.

La perquisizione dei domicili e l'accesso ai tabulati telefonici (dei provider per conoscere i siti visitati) sono provvedimenti riservati a illeciti penali. In Paesi come gli Stati Uniti, dove la violazione del copyright è punita con sanzioni pecuniarie, è comunque diffusa tale prassi nelle indagini per violazioni del diritto d'autore.

Il codice penale italiano al cap.2 ("dei delitti in particolare") dedica un'apposita sezione a tale tema: "Dei delitti contro la inviolabilità del domicilio" (sez. IV). Gli artt. 615 bis e ter specificano le pene per accesso abusivo ad un sistema informatico o telematico, o interferenze illecite nella vita privata. Gli strumenti che controllano il traffico web di un utente, "si mettono in ascolto" su una porta del computer non utilizzata da alcun programma, e funzionano come uno "strumento di ripresa sonora" che registra tutto il traffico in ingresso e uscita dal nodo internet.

In questo caso è dato di sapere soltanto ciò che l'utente sta facendo con il browser Internet e con i programmi peer-to-peer, ma non con le altre applicazioni (se ad esempio sta ascoltando una canzone, vedendo un film, stampando un file). L'intrusione non consente un controllo o manipolazione del computer, ma comunque di "mantenervisi contro la volontà tacita di chi ha il diritto di escluderlo".

Entrando nelle reti di condivisione l'utente rende visibile una parte dei file del suo computer e inevitabilmente i file che sceglie di scaricare. Viene in questo modo a crearsi un conflitto con la normativa sulla privacy: la conservazione dei dati dei download, anche in forma aggregata e anonima, deve essere autorizzata nei confronti di chi immette file nelle reti P2P per "testarne" il gradimento del pubblico, oppure entra per perseguire in flagranza di reato chi viola i diritti di copyright.

A detta di alcuni giuristi l'accesso è più grave del reato di violazione del copyright che con esso si vuole reprimere. È stato osservato che è eccessivo uno sconfinamento nella giustizia penale e che l'entità della reclusione minima e massima non rispettano il proporzionalismo delle pene se comparate con le pene detentive di altri reati.

In questo senso, se può essere chiesto un risarcimento danni per la violazione del copyright, le persone oggetto di intercettazioni possono ottenere un risarcimento, probabilmente in misura maggiore, per la violazione dei loro diritti soggettivi.[1][2][3]

  1. ^ Una sentenza del Tribunale di Roma, del 17 marzo 2008, per il caso Peppermint/Techland/Logistep, è una delle prime in materia e crea un precedente giuridico. La casa discografica tedesca e un produttore di videogiochi polacchi si erano rivolti ad una società svizzera specializzata in intercettazioni nelle reti peer-to-peer. Rilevati gli indirizzi IP, le società ottengono dai provider italiani i nominativi corrispondenti, e inviano loro delle raccomandate nelle quali chiedono un risarcimento, riservandosi altrimenti ulteriori iniziative giudiziarie per la violazione del diritto d'autore. Il Tribunale di Roma rigetta le richieste di procedere, affermando che le società non hanno alcun diritto di accedere ai dati personali degli intercettati e che quindi i nominativi raccolti sono privi di valore probatorio, e non possono essere utilizzati in tribunale.
  2. ^ Su esposto di una nota associazione dei consumatori, con un provvedimento del 28 febbraio 2008, pubblicato il 14 marzo, il Garante per la privacy, ha affermato che il trattamento dei dati personali è illegittimo poiché viola diversi principi: finalità, delle reti P2P destinate allo scambio di file e non alle intercettazioni; trasparenza e buona fede, essendo i dati prelevati senza informare gli interessati; proporzionalità: un diritto costituzionale come la segretezza nelle comunicazioni può essere limitato solo dall'esigenza di salvaguardare un diritto di pari rilevanza, quale non è il diritto d'autore. Secondo il Garante, il discovery, vale a dire la rivelazione delle generalità, violerebbe una sentenza della Corte di Giustizia Europea del 29 gennaio 2008, e tre sentenze della Corte Costituzionale italiana: la 372/2006 e la 38-349/2007.
  3. ^ L'intercettazione limita diritti soggettivi della persona, la cui violazione in altri contesti costituisce reato, ed è utilizzata per accertare un illecito che è punito con un'ammenda. La sentenza del Tribunale di Roma afferma l'illegittimità delle intercettazioni in relazione a soggetti privati; il pronunciamento del Garante entra nel merito dichiarando l'uso delle intercettazioni nelle reti P2P illegittimo, al di là del soggetto che le opera. Il diritto alla riservatezza è disciplinato nel D. Lgs. n. 196 del 2003.

Bibliografia

modifica

Voci correlate

modifica

Altri progetti

modifica

Collegamenti esterni

modifica
Controllo di autoritàGND (DE4783973-9
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica