Che cosa è l’attacco Spoofing



Che cosa è l’attacco Spoofing

scritto da IlMagoDelComputer

In questo articolo vedremo che cosa è l’attacco spoofing e quali contromisure prendere per difendersi.
In questo tutorial ti mostrerò in cosa consiste un attacco spoofing e quali sono le contromisure per combatterlo.
Forse avrai già sentito parlare di questo particolare attacco, che in realtà è molto semplice da capire nel suo contentuto.

Lo spoofing è un tipo di attacco informatico usato per falsificare l’identità (spoof) di un utente o di un dispositivo, in modo che l’hacker possa, ad esempio, intercettare informazioni riservate, diffondere informazioni false, causare disservizi.

Lo spoofing può risultare particolarmente pericoloso se associato a tecniche di social engineering: in tal caso l’hacker può ottenere l’accesso a dati sensibili e alle credenziali dell’host.



Inoltre i social media scammers o i phishers possono convincere un utente a connettersi ad un determinato server rubando i suoi dati.

 

Contromisure da prendere contro l’attacco spoofing

Ci sono diverse tecniche per proteggere una rete di computer aziendale da accessi indesiderati.

AUTENTICAZIONE
Un primo consiglio è sicuramente utilizzare lo standard IEEE 802.1x per l’autenticazione 



o l’utilizzo di NAC (Network Access Control) che prevede oltre all’autenticazione gestita ad alto livello, una serie di controlli sul dispositivo, come la presenza di software incompatibile con l’architettura di rete. 

 

PREVENIRE LO SPOOFING AD ALTO LIVELLO (PERSONE)

Tuttavia la vulnerabilità più grande a cui una rete rimane esposta è l’utente. Molti attacchi infatti, a reti che non hanno particolari bug tecnologici da sfruttare, avvengono puntando sul fattore umano,



sulle vulnerabilità comportamentali di una persona.


Lo spoofing ad alto livello sfrutta spesso tecniche di ingegneria sociale e può essere utilizzato sia per colpire l’utente finale rubando 

credenziali di social o di conti correnti, sia per utilizzare l’utente finale per entrare in reti a cui normalmente non si sarebbe autorizzati ad accedere. 

Oltre all’adozione di tecniche come SPF, filtri sui contenuti 



o Greylisting la consapevolezza dell’utente finale è una fondamentale contromisura a questo tipo attacco. 

 

QUALI SONO LE CONTROMISURE CHE PUOI PRENDERE CONTRO LO SPOOFING IN RIASSUNTO:

  • adotta lo standard IEEE 802.1x per identificarti
  • usa il NAC (Network Access Control) che prevede l’autenticazione e dei controlli continui sul dispositivo, come, per esempio, se c’è un software incompatibile.
  • sii consapevole: la maggior parte dello spoofing avviene giocando sul fattore umano e sulla vulnerabilità della persona.
  • adotta tecniche come SPF, Greylisting e filtra i contenuti.

 



QUALI SONO LE DIVERSE TIPOLOGIE DI SPOOFING:

Si ha spoofing ogni volta che all’interno della rete un attaccante finge sulla sua identità, sia che si tratti di hostname, di indirizzo ethernet o  di server pirata.

Gli attacchi spoofing possono però essere di tipo diverso e corrispondere a livelli diversi della suite di protocolli di rete TCP/IP.

Qui di seguito ti indicherò le tipologie:



 

 

SPOOFING A LIVELLO 1 – Network Access Layer

Il Network Access Layer è il livello più basso del protocollo di rete TCP/IP e incapsula i livelli fisico a data link (1 e 2) del modello ISO/OSI.

1-MAC SPOOFING



Con questa tecnica  l’hacker falsifica il MAC (Media  Access Control) quindi l’indirizzo Ethernet di un dispositivo.

Un hacker può utilizzare un indirizzo MAC non suo, per esempio, per  mandare continuamente pacchetti in rete così da saturare il forwarding database dello switch causandone malfunzionamenti e forzando il successivo broadcast in tutta la rete (MAC Flooding) oppure per appropriarsi della porta dello switch dedicata all’host vittima (Port Stealing)

 

 



2-ARP SPOOFING

L’ARP (Address Resolution Protocol) è il meccanismo che associa gli indirizzi MAC agli indirizzi IP di un determinato host.

Con questa tecnica spoofing l’hacker invia messaggi ARP su una rete locale per associare il proprio MAC all’IP di un diverso host, ad esempio, il gateway predefinito. In tal modo intercetterà tutto il traffico destinato a tale host.

ArpON “ARP handler inspection” è un software portatile utilissimo per contrastare questo tipo di attacco, che migliora sensibilmente la sicurezza dell’ARP contro attacchi Man in The Middle (MITM) 



attraverso tecniche ARP Spoofing, ARP Cache Poisoning, ARP Poison Routing (APR). 

 

 

SPOOFING A LIVELLO 2 – INTERNET LAYER

L’Internet Layer è il secondo livello del protocollo di rete TCP/IP  e coincide con il livello di rete (3) della pila ISO/SI.



1-IP SPOOFING

Con questa tecnica l’hacker crea un pacchetto IP nel quale viene falsificato l’indirizzo IP del mittente. Purtroppo questo non è un attacco difficile da effettuare perchè il protocollo non implementa alcun sistema di sicurezza per quanto riguarda la protezione dell’indirizzo IP.

Ci sarà però, in questo caso, un router asimmetrico, in quanto al vero IP verrà inviato un pacchetto di risposta.

Ci possono però essere alcuni sistemi di sicurezza attivati dagli ISP per evitare l’IP spoofing: ad esempio questi impediscono che da una interfaccia di un determinato router o firewall siano inviati pacchetti il cui IP sorgente è diverso da quello che ci si immagina.  



Oppure, un altro sistema di sicurezza è legato alla tecnica uRFF, acronimo di unicast Reverse Path Forwarding che prevede l’utilizzo delle tabelle di routing: 

nel caso in cui l’interfaccia di origine di un pacchetto non è uguale a quella che verrebbe scelta dal router per l’inoltro del pacchetto di risposta allora, il pacchetto è automaticamente scartato. 

 

SPOOFING A LIVELLO 3 – TRANSPORT LAYER 

Il Transport Layer è il terzo livello del protocollo di rete TCP/IP  e coincide con il livello di trasporto (4) della pila ISO/SI.



Questo livello dello stack TCP/IP coincide con il livello di trasporto (4) nella pila ISO/OSI. 

Si parla di attacco di IP-spoofing portato verso uno di questi due protocolli, perché non è rilevante in fase di autenticazione.

1-SPOOFING UDP

Questo è un tipo di spoofing simile all’IP Spoofing. Viene falsificata un datagram UDP (che è un protocollo connectionless) attraverso una modifica delle informazioni e una falsificazione dell’header. 



SPOOFING A LIVELLO 4 – APPLICATION LAYER

L’Application Layer è il livello 4 del protocollo di rete TCP/IP  e indica quelle tecniche di spoofing che mirano a colpire i protocolli di livello di sessione (5), presentazione (6) o applicazione (7) della pila ISO/OSI o le applicazioni,

Posso farti diversi esempi. Quando un hacker falsifica l’indirizzo del mittente in una email al fine di inviare email spam, malware o per attuare phishig, ci troviamo di fronte ad un EMAIL SPOOFING.

Se invece l’hacker falsifica un server web in modo da far sembrare di essere connesso ad un dato server mentre invece è connesso ad un server malevolo, ci troviamo di fronte ad uno WEB SPOOFING.

Il web spoofing funziona in questo modo: 



-un hacker falsifica l’associazione tra un indirizzo web e l’indirizzo IP attraverso un attacco di dns poisoning.
Il server malevolo verso il quale l’hacker reindirizza il client è chiamato shadow server (server ombra)