Uno sniffer di pacchetti è un dispositivo o un programma che consente all’utente di intercettare il traffico che viaggia tra i computer in rete. Il programma catturerà i dati indirizzati ad altre macchine, salvandoli per un’analisi successiva.
Tutte le informazioni che viaggiano attraverso una rete vengono inviate in “pacchetti”. Ad esempio, quando un’e-mail viene inviata da un computer a un altro, viene prima suddivisa in segmenti più piccoli. Ogni segmento ha l’indirizzo di destinazione allegato, l’indirizzo di origine e altre informazioni come il numero di pacchetti e l’ordine di riassemblaggio. Una volta arrivati a destinazione, le intestazioni e i piè di pagina del pacchetto vengono rimossi e i pacchetti vengono ricostituiti.
Nell’esempio della rete più semplice in cui i computer condividono un cavo Ethernet, tutti i pacchetti che viaggiano tra i computer vengono “visti” da ogni computer della rete. Un hub trasmette ogni pacchetto a ogni macchina o nodo della rete, quindi un filtro in ogni computer scarta i pacchetti non indirizzati ad esso. Uno sniffer di pacchetti disabilita questo filtro per acquisire e analizzare alcuni o tutti i pacchetti che viaggiano attraverso il cavo Ethernet, a seconda della configurazione dello sniffer. Questo è indicato come “modalità promiscua”. Di conseguenza, se la signora Wise sul computer A invia un’e-mail a Mr. Geek sul computer B, il software installato sul computer D potrebbe acquisire passivamente i loro pacchetti di comunicazione senza che né la signora Wise né il signor Geek lo sappiano. Questo tipo di sniffing è molto difficile da rilevare perché non genera traffico proprio.
Un ambiente leggermente più sicuro è una rete Ethernet commutata. Piuttosto che un hub centrale che trasmette tutto il traffico sulla rete a tutte le macchine, lo switch agisce come un centralino centrale: riceve i pacchetti direttamente dal computer di origine e li invia direttamente alla macchina a cui sono indirizzati. In questo scenario, se il computer A invia un messaggio di posta elettronica al computer B e il computer D è in modalità promiscua, non vedrà ancora i pacchetti. Alcune persone presumono erroneamente che uno sniffer di pacchetti non possa essere utilizzato su una rete commutata.
Tuttavia, ci sono modi per hackerare il protocollo switch. Una procedura chiamata avvelenamento da ARP fondamentalmente inganna il passaggio alla sostituzione della macchina con lo sniffer per la macchina di destinazione. Dopo aver acquisito i dati, i pacchetti possono essere inviati alla destinazione reale. L’altra tecnica consiste nell’inondare lo switch di indirizzi MAC (di rete) in modo che lo switch passi per impostazione predefinita in modalità “failopen”. In questa modalità inizia a comportarsi come un hub, trasmettendo tutti i pacchetti a tutte le macchine per assicurarsi che il traffico passi. Sia l’avvelenamento da ARP che il flooding del MAC generano firme del traffico che possono essere rilevate con il software giusto.
Questi programmi possono essere utilizzati anche su Internet per acquisire dati che viaggiano tra computer. I pacchetti Internet hanno spesso distanze molto lunghe da percorrere, passando attraverso diversi router che fungono da uffici postali intermedi. Uno sniffer potrebbe essere installato in qualsiasi momento lungo il percorso e potrebbe anche essere installato clandestinamente su un server che funge da gateway o raccoglie informazioni personali vitali.
Uno sniffer di pacchetti non è solo uno strumento di hacker. Può essere utilizzato per la risoluzione dei problemi di rete e altri scopi utili. Nelle mani sbagliate, tuttavia, questo software può acquisire informazioni personali sensibili che possono portare all’invasione della privacy, al furto di identità e ad altri seri problemi.
La migliore difesa contro le intercettazioni è un buon reato: la crittografia. Quando viene utilizzata la crittografia avanzata, tutti i pacchetti sono illeggibili a qualsiasi indirizzo tranne l’indirizzo di destinazione. Altri programmi possono ancora acquisire pacchetti, ma il contenuto sarà indecifrabile. Questo illustra perché è così importante utilizzare siti sicuri per inviare e ricevere informazioni personali, come nome, indirizzo, password e sicuramente qualsiasi informazione sulla carta di credito o altri dati sensibili. Un sito Web che utilizza la crittografia inizia con https e la posta elettronica può essere resa sicura crittografando con un programma, alcuni dei quali sono dotati di plug-in per i principali programmi di posta elettronica.