Indietro

ⓘ Spoofing




Spoofing
                                     

ⓘ Spoofing

Lo spoofing è un tipo di attacco informatico che impiega in varie maniere la falsificazione dellidentità. Lo spoofing può avvenire a qualunque livello della pila ISO/OSI e può riguardare anche la falsificazione delle informazioni applicative.

                                     

1.1. Descrizione Utilizzo

Questa tecnica di attacco può essere utilizzata per falsificare diverse informazioni, come ad esempio lidentità di un host allinterno di una rete o il mittente di un messaggio. Una volta che un attaccante riesce ad impersonare qualcun altro allinterno di una rete gli è possibile intercettare informazioni riservate, diffondere informazioni false e tendenziose o effettuare qualsiasi tipo di attacco. Risulta particolarmente efficace combinata a tecniche di social engineering per ottenere laccesso ad informazioni "riservate" e credenziali degli utenti. Social media scammers o phishers possono usare questa tecnica ad esempio per convincere un utente a connettersi ad un server malevolo intercettando così le sue credenziali.

                                     

1.2. Descrizione Contromisure

Ci sono diverse tecniche per tutelare una rete da accessi indesiderati. Esempi significativi di queste tecniche sono ladozione dello standard IEEE 802.1x per lautenticazione o lutilizzo di NAC Network Access Control che prevede oltre allautenticazione gestita ad alto livello, una serie di controlli sul dispositivo, come la presenza di software incompatibile con larchitettura di rete. Tuttavia la vulnerabilità più grande a cui una rete rimane esposta è lutente. Molti attacchi infatti, a reti che non hanno particolari bug tecnologici da sfruttare, avvengono puntando sul fattore umano, sulle vulnerabilità comportamentali di una persona. Lo spoofing ad alto livello sfrutta spesso tecniche di ingegneria sociale e può essere utilizzato sia per colpire lutente finale rubando credenziali di social o di conti correnti, sia per utilizzare lutente finale per entrare in reti a cui normalmente non si sarebbe autorizzati ad accedere. Oltre alladozione di tecniche come SPF, filtri sui contenuti o Greylisting la consapevolezza dellutente finale è una fondamentale contromisura a questo tipo attacco.

                                     

2. Tipologie di spoofing

Esistono diversi tipi di attacchi spoofing a diversi livelli del modello a strati TCP/IP. Si tratta di spoofing ogni qualvolta si fa credere allinterno di una rete di essere qualcosa di diverso rispetto a quello che si è effettivamente: un hostname, un indirizzo ethernet o un server "pirata".

                                     

2.1. Tipologie di spoofing Spoofing a livello 2 Network Access Layer

Questo livello dello stack TCP/IP incapsula i livelli fisico a data link 1 e 2 del modello ISO/OSI.

                                     

2.2. Tipologie di spoofing Esempi di utilizzo

  • Port Stealing: luso da parte di un attaccante di un MAC Address di un host vittima è finalizzato al furto della porta dello switch dedicata allhost vittima.
  • MAC Flooding: un attaccante manda continuamente pacchetti in rete con un MAC non suo. Questo attacco satura il forwarding database dello switch causandone malfunzionamenti cioè forzando il successivo broadcast in tutta la rete.
                                     

2.3. Tipologie di spoofing ARP Spoofing

È una tecnica utilizzabile da un attaccante che prevede linvio di messaggi ARP su una rete locale generalmente al fine di associare il proprio indirizzo MAC allIP di un altro host ad esempio il gateway predefinito intercettando quindi tutto il traffico ad esso destinato.

Un tool per prevenire e bloccare questo attacco è ArpON "ARP handler inspection". ArpON è un demone portabile che rende il protocollo ARP sicuro contro attacchi Man in The Middle MITM attraverso tecniche ARP Spoofing, ARP Cache Poisoning, ARP Poison Routing APR.

                                     

2.4. Tipologie di spoofing Spoofing a livello 3 Internet Layer

Questo livello dello stack TCP/IP coincide con il livello di rete 3 della pila ISO/OSI.

                                     

2.5. Tipologie di spoofing IP Spoofing

Consiste nella creazione di un pacchetto IP nel quale viene falsificato lindirizzo IP del mittente. In generale è semplice falsificare un indirizzo in quanto il protocollo non implementa alcun sistema di sicurezza. In questo caso abbiamo routing asimmetrico perché un eventuale pacchetto di risposta viene inviato al vero IP. Gli ISP possono attivare diversi sistemi di sicurezza per impedire lIP spoofing. Uno di questi consiste nellimpedire che da una interfaccia di un router/firewall siano inviati pacchetti in cui lIP sorgente non è quello che ci si aspetta. Un altro metodo consiste nelluso delle tabelle di routing. Se linterfaccia di provenienza per un pacchetto non è la stessa che verrebbe scelta dal router per linoltro del pacchetto di risposta allora questo pacchetto è scartato. Questa tecnica si chiama uRPF unicast Reverse Path Forwarding.

                                     

2.6. Tipologie di spoofing Spoofing a livello 4 Transport Layer

Questo livello dello stack TCP/IP coincide con il livello di trasporto 4 nella pila ISO/OSI. Non è rilevante in fase di autenticazione, quindi non si parla di UDP/TCP spoofing, ma di attacco di IP-spoofing portato verso uno di questi due protocolli.

                                     

2.7. Tipologie di spoofing Spoofing UDP

È analogo al caso IP. Essendo UDP un protocollo connectionless la falsificazione di un datagram UDP consiste nellimmettere le informazioni desiderate e falsificare lheader.

                                     

2.8. Tipologie di spoofing Spoofing TCP

Lo spoofing di una sessione TCP è decisamente più complesso del caso UDP. TCP è infatti un protocollo connection oriented che richiede di stabilire una sessione tramite il three way handshake. Se è forgiato un pacchetto SYN con lindirizzo IP falsificato e questo è inviato ad un server, prima che sia possibile inviare i dati il server cercherà di portare a termine lhandshake rispondendo con un pacchetto SYN/ACK. Questo pacchetto riporterà lindirizzo IP falsificato, quindi non sarà rinviato allattaccante che non potrà rispondere con il terzo e ultimo pacchetto il pacchetto ACK. Per portare a termine questo attacco è necessario inviare un pacchetto ACK al server che non solo riporti nuovamente lindirizzo IP falsificato, ma anche il sequence number che il server ha inserito nel pacchetto SYN/ACK. Per scegliere questo numero lattaccante deve sapere come il server li sceglie. Siccome lattaccante invia il primo e il terzo pacchetto senza vedere il secondo, questo attacco si chiama blind spoofing. Una trattazione approfondita sulla predizione dei numeri di sequenza è fatta da lcamtuf in e in.



                                     

2.9. Tipologie di spoofing Spoofing a livello 7 Application Layer

In questo livello rientrano le tecniche di spoofing destinate a colpire i protocolli dei livelli di sessione, presentazione o applicazione rispettivamente 5, 6 e 7 della pila ISO/OSI o le applicazioni stesse.

                                     

2.10. Tipologie di spoofing Email Spoofing

Consiste nella falsificazione dellindirizzo del mittente in una email. Utilizzato per la diffusione di Email spam, Malware e come base per il Phishing.

                                     

2.11. Tipologie di spoofing WEB Spoofing

Quando lo spoofing coinvolge il web server applicativo, host server o protocolli web si parla di web spoofing. Nellaccezione più comune il web spoofing riguarda la falsificazione di un server web per far credere ad un utente di essere connesso ad un certo server mentre è connesso ad un server malevolo.

Descriviamo la tecnica nel caso in chiaro non TLS. La prima azione che deve effettuare un attaccante per redirigere un client verso un server falso anche chiamato shadow server o server ombra è di falsificare lassociazione tra lindirizzo web e lindirizzo IP. Questa operazione è effettuata tramite un attacco di dns poisoning. A questo punto lattaccante ha fatto credere al client che lindirizzo del server vero sia quello del server falso. Lattaccante ha costruito in precedenza un server falso che può

  • rigirare pagina per pagina le connessioni del client verso il server vero
  • contenere una copia del server vero ogni pagina è stata copiata in locale sul server ombra

In entrambi questi casi quello che ottiene lattaccante è di fingersi il server vero, catturando per esempio credenziali di accesso. La creazione dello shadow server è uguale a ciò che si fa nel phishing, ma in questo caso cè stato un preventivo attacco diretto al client.

Nel caso TLS la cosa si complica: bisogna violare il sistema crittografico di TLS. Siccome gli algoritmi sono difficilmente violabili, un attaccante opera un attacco a metà tra linformatica e il social engineering. Lattacco si svolge in tutto e per tutto come il caso senza TLS, ma lopzione scelta è quella di rigirare le connessioni verso il server vero. Quando il client riceve il certificato del server esso dovrebbe verificarne lautenticità. Lattaccante quindi genera un certificato server falso, totalmente uguale al certificato vero, ma non firmato dalla stessa CA. Lutente quindi riceve un certificato valido a prima vista, e solo unanalisi approfondita rivela la sua falsità. Lattaccante potrebbe rendere ancora più ardua lidentificazione usando una CA falsa, uguale a quella vera. Se lutente non è sufficientemente a conoscenza del problema può cliccare per accettare anche se la prova crittografica non è completa. A questo punto il server dellattaccante fa una connessione al server vero agendo da proxy e intercettando le comunicazioni. Questo è lattacco man in the middle. Alcuni tool che offrono la possibilità di compiere questo attacco sono dsniff ed ettercap mentre un tool per prevenirlo e bloccarlo è ArpON "ARP handler inspection". ArpON è un demone portabile che rende il protocollo ARP sicuro contro attacchi Man in The Middle MITM attraverso tecniche ARP Spoofing, ARP Cache Poisoning, ARP Poison Routing APR.



                                     

2.12. Tipologie di spoofing DNS Spoofing

Il DNS Spoofing è un attacco informatico che prevede lintercettazione di query dirette al server DNS e linvio di una risposta fasulla, diversa da quella che avrebbe dato il vero server DNS, tipicamente al fine di deviare il traffico verso server malevoli. Un risultato di questo tipo si può ottenere anche con un attacco di tipo DNS cache poisoning, senza impersonificare esplicitamente il server DNS della rete.

                                     

2.13. Tipologie di spoofing Referer Spoofing

Consiste nella falsificazione del referer in una richiesta HTTP, al fine di evitare che un sito ottenga informazioni precise sulla pagina web visitata in precedenza dallutente. Questa tecnica risulta utile in caso di siti che rendano possibile laccesso alle loro pagine solo da determinate pagine di provenienza.

                                     

2.14. Tipologie di spoofing Caller ID Spoofing

Consiste nella falsificazione dellidentificativo del chiamante in una chiamata VoIP. Molti siti offrono servizi di questo tipo. Le chiamate contraffatte possono provenire da altri paesi. Questo limita lefficacia delle leggi contro luso di questa tipologia di spoofing per promuovere una truffa, in quanto le leggi del paese del ricevente potrebbero non essere applicabili al chiamante.

                                     
  • pacchetti, dal momento che questo può essere facilmente falsificato vedi spoofing per far sì che appaia come proveniente da un altro indirizzo IP. Ciascun
  • l interazione con le altre applicazioni, al fine di evitare attacchi di spoofing o shatter attack. Molte critiche si sono levate circa il numero eccessivo
  • carattere A dell alfabeto cirillico. Questo tipo di spoofing è noto anche come script spoofing La codifica Unicode incorpora numerosi sistemi di scrittura
  • una folta moltitudine di pacchetti fittizi. Questa tecnica utilizza lo spoofing degli indirizzi, per cui insieme ai pacchetti di scansione veri e propri
  • dai diretti interessati. È tra i primi a utilizzare la tecnica dell IP spoofing che rende irrintracciabile il computer da cui partono gli attacchi. In
  • permettono di camuffarlo, operazione che in gergo tecnico viene detta MAC spoofing La modifica può essere utile per motivi di privacy, ad esempio collegandosi
  • nell instradamento multicast e ad aiutare a prevenire nell instradamento unicast l IP spoofing falsificazione dell indirizzo del mittente L idea che regola questa
  • parla appunto di amplificazione In generale la tecnica sfrutta l IP spoofing per creare dei pacchetti che colpiscono un host intermedio. A causa della
  • effettivamente al proprietario. Poiché è possibile un attacco di tipo spoofing l identità dell altra persona può essere non sicura, soprattutto quando
  • Indirizzo IP univoco. La struttura del protocollo IP non impedisce lo spoofing degli indirizzi IP, questo permette a un qualsiasi nodo di generare un
  • esempio un sito web, fino a renderlo incapace di erogare il servizio. L IP Spoofing consiste nell introdursi in un sistema informativo, del quale non si ha

Anche gli utenti hanno cercato:

spoofing gmail,

...
...
...