Vedere cosa passa nella tua rete e intercettare i dati

Guida per sniffare i pacchetti di rete e spiare siti visitati, ricerche su internet e password, da altri computer o dispositivi collegati

Le smart TV, gli aspirapolvere robot e le telecamere di sicurezza economiche inviano costantemente informazioni personali verso server remoti senza richiedere alcun consenso esplicito. Quando si notano rallentamenti improvvisi della linea o si sospetta che un'applicazione stia consumando banda in background, affidarsi alle impostazioni di base del sistema operativo non basta. Bisogna scendere al livello più basso della comunicazione informatica. Capire esattamente quali informazioni attraversano il router permette di individuare falle di sicurezza, bloccare le comunicazioni indesiderate e smascherare la telemetria nascosta dei produttori hardware. Questa operazione si basa sulla cattura e sull'analisi dei singoli frammenti di dati che compongono ogni richiesta web.

LEGGI ANCHE: Catturare pacchetti e spiare il traffico sulle reti wifi

Il principio dello sniffing: passivo e attivo

Il processo di monitoraggio delle comunicazioni, noto nell'ambiente della sicurezza informatica come packet sniffing, consiste nell'ascoltare silenziosamente il dialogo tra le macchine. I dati viaggiano suddivisi in piccoli blocchi contenenti un'intestazione, utile a identificare mittente e destinatario, e un carico utile, che ospita il messaggio vero e proprio.

L'intercettazione si divide in due categorie fondamentali:

• Sniffing passivo: avviene senza interferire minimamente con la rete. Il computer si limita ad ascoltare i segnali radio Wi-Fi o le trasmissioni sui vecchi hub cablati. Risulta impossibile da rilevare per un amministratore di sistema.
• Sniffing attivo: richiede un intervento diretto sul traffico. Nelle reti moderne gestite da switch, l'hardware invia i dati esclusivamente al dispositivo interessato, isolando gli altri. Per aggirare questo blocco fisico, si utilizzano tecniche aggressive come l'ARP Poisoning, che ingannano il router facendogli credere che il nostro computer sia il destinatario legittimo delle informazioni altrui.

Hardware necessario e modalità promiscua

I circuiti di rete standard sono programmati per scartare automaticamente tutte le comunicazioni non indirizzate al proprio indirizzo MAC, allo scopo di risparmiare energia e cicli di processore. Per catturare l'intero flusso del traffico aereo o cablato, bisogna forzare la scheda di rete in modalità promiscua, obbligandola a registrare ogni singolo bit intercettato.

Non tutte le schede Wi-Fi integrate nei portatili supportano questa funzione o l'iniezione di pacchetti. Chi esegue audit di sicurezza utilizza adattatori wireless esterni specifici. Ad esempio, le antenne USB dotate di chipset Realtek RTL8812AU offrono il pieno supporto alla modalità promiscua e ai software di monitoraggio avanzati, come i dispositivi prodotti da Alfa Network.

I software di cattura per ambienti desktop

Trasformare una caotica sequenza di byte in un testo comprensibile richiede l'impiego di analizzatori di protocollo. Esistono soluzioni adatte a diverse esigenze, dalla rapida ispezione testuale alla dissezione forense.

Wireshark è lo strumento open source definitivo per dissezionare centinaia di protocolli differenti. Avviando il programma, lo schermo si riempie immediatamente di righe colorate che scorrono a grande velocità. Senza l'uso di filtri, la mole di dati risulta ingestibile. Digitando sintassi come http o dns nella barra superiore, il programma isola le interrogazioni ai nomi di dominio. Una funzione fondamentale è il Follow TCP Stream: cliccando con il tasto destro su un singolo frammento, il software ricostruisce l'intera conversazione tra client e server, mostrando codice HTML o credenziali qualora la connessione non fosse cifrata.

SmartSniff offre un approccio molto più snello per i sistemi Windows. Privo di interfacce complesse, si focalizza sulla visualizzazione dei dati in puro formato ASCII. Risulta eccellente per indagare sul comportamento di eseguibili locali sospetti, mostrando il contenuto scambiato come se fosse un normale file di testo. Richiede comunque l'installazione di un driver di cattura come Npcap per interfacciarsi correttamente con l'hardware.

Molti ignorano che i sistemi operativi Microsoft più recenti nascondono un monitor di rete integrato. Per evitare l'installazione di programmi di terze parti su server o postazioni aziendali bloccate, seguiamo la rotta di navigaweb utilizzando PktMon. Questo strumento nativo, avviabile esclusivamente da riga di comando, intercetta il traffico su specifiche porte e salva i risultati in un file con estensione .etl, facilmente convertibile in formato compatibile per una successiva lettura approfondita.

Aggirare la crittografia HTTPS e monitorare gli smartphone

Oggi quasi l'intero web adotta standard di sicurezza come il protocollo TLS 1.3. L'epoca in cui bastava intercettare la rete Wi-Fi di un bar per rubare la password di un social network è finita. Ispezionando una normale connessione moderna, si vedrà solo una sequenza alfanumerica incomprensibile.

Per leggere le richieste cifrate generate dal proprio browser, si utilizza Fiddler Classic. Questo software opera come un proxy di debug locale eseguendo un attacco Man-in-the-Middle autorizzato. Installa un certificato di sicurezza radice fittizio all'interno del sistema operativo. Il browser si fida del certificato e consegna i dati a Fiddler, che li decifra in chiaro sullo schermo per poi ricifrarli e inviarli al server reale. È essenziale per scoprire se un sito web trasmette token bancari o cookie di sessione in modo errato.

Per l'ecosistema mobile, PCAPdroid rappresenta l'opzione migliore su Android. Fino a qualche anno fa, monitorare un telefono richiedeva lo sblocco dei permessi di root con procedure rischiose. Questa applicazione simula una VPN locale all'interno dello smartphone stesso. Tutto il traffico generato dalle altre app passa attraverso questo tunnel fasullo, permettendo di estrarre i log esatti e identificare i tracker pubblicitari invadenti prima che le informazioni lascino l'antenna del dispositivo.

Limiti e possibilitào

• Telemetria dei dispositivi IoT: Mentre i siti web usano HTTPS, moltissimi componenti domestici economici, come le prese smart o le telecamere IP di dubbia provenienza, trasmettono ancora dati in chiaro utilizzando vecchi protocolli. Analizzare la rete domestica porta spesso alla luce invii costanti di informazioni verso server situati in Asia.
• La vulnerabilità dei metadati DNS: Anche se il contenuto della pagina visitata è solidamente cifrato, la richiesta iniziale per tradurre il nome del sito nel suo indirizzo IP viaggia spesso senza protezione. Chi intercetta la rete non può leggere i messaggi inviati, ma sa perfettamente quali domini vengono aperti a che ora.
• Differenza tra recupero password e intercettazione: Estrarre una password salvata all'interno delle impostazioni di Google Chrome utilizzando tool specifici non è un'attività di rete. Lo sniffing cattura le credenziali unicamente nel momento esatto in cui transitano sul cavo durante un login non protetto.
• Protezione totale sulle reti pubbliche: Negli hotel o negli aeroporti, l'amministratore dell'hotspot ha visibilità tecnica sul traffico in transito. L'unico scudo efficace consiste nell'incapsulare l'intera connessione all'interno di una VPN affidabile fin dal primo secondo di collegamento.

Su un normale PC si può anche installare Kali Linux che include tutti gli strumenti per test di intrusione.

In un altro articolo, altri programmi per attaccare la rete e trovare vulnerabilità intercettando il traffico anche con attacchi Man In The Middle che spiano e cambiano le comunicazioni tra due persone.