IP spoofing: come gli hacker riescono a ma­ni­po­la­re i pacchetti fa­cil­men­te

In­di­pen­den­te­men­te che na­vi­ghia­te su Internet come privati o che siate re­spon­sa­bi­li di una rete locale, la pro­te­zio­ne dagli accessi in­de­si­de­ra­ti e dagli attacchi che dan­neg­gia­no il sistema ricopre un ruolo sempre più im­por­tan­te. Da decenni i cyber criminali riescono a trovare molti modi per accedere a sistemi di computer estranei e provocano così dei danni, più o meno gravi. Se l’intruso sa bene come fare il proprio mestiere, dif­fi­cil­men­te ci si accorgerà dell’attacco. Inoltre molti hacker sanno anche come na­scon­de­re le proprie tracce, così che con i mezzi usuali sia pressoché im­pos­si­bi­le in­di­vi­dua­re suc­ces­si­va­men­te il punto di origine degli attacchi.

Una delle tecniche hacker più amate di sempre è il così chiamato spoofing (in italiano “ma­ni­po­la­zio­ne, oc­cul­ta­men­to”) che nella sua forma ori­gi­na­ria, quella dell’IP spoofing, era già molto diffusa tra gli esperti negli anni ’80.

L’IP spoofing è un pro­ce­di­men­to dove nei pro­to­col­li TCP/IP o UDP/IP vengono inviati dei pacchetti con un indirizzo del mittente falso. Così l’hacker accede all’indirizzo di un sistema au­to­riz­za­to e at­ten­di­bi­le. In questo modo può inserire dei propri pacchetti nel sistema estraneo che sarebbe al­tri­men­ti bloccato da un sistema di fil­trag­gio. Nella maggior parte dei casi l’IP spoofing serve a eseguire attacchi DoS e DDoS. Tuttavia, in precise cir­co­stan­ze l’hacker può in­ter­cet­ta­re o ma­ni­po­la­re con l’IP rilevato anche il traffico dati tra due o più sistemi. Og­gi­gior­no, però, questi attacchi man in the middle ef­fet­tua­ti tramite IP spoofing, prevedono (con solo qualche eccezione) che l’hacker si trovi nella stessa sottorete della vittima.

La pos­si­bi­li­tà di con­traf­fa­re l’indirizzo IP è così data dal fatto che l’indirizzo sorgente e quello di de­sti­na­zio­ne, che ogni pacchetto IP comprende nel suo header, non sono suf­fi­cien­te­men­te protetti dalla ma­ni­po­la­zio­ne. Non esistono né mec­ca­ni­smi per crit­to­gra­fa­re queste in­for­ma­zio­ni, né altri pro­ce­di­men­ti per ve­ri­fi­ca­re la loro cor­ret­tez­za. L’hacker con un semplice attacco di IP spoofing non ottiene alcun accesso al traffico dati. Infatti modifica solo la voce dell’indirizzo nel pacchetto cor­ri­spon­den­te, mentre l’indirizzo IP reale rimane invariato. Così la risposta ai dati inviati non arriva a quest’ultimo, ma al computer del quale ha inserito l’indirizzo.

Il fatto che un terzo par­te­ci­pan­te non au­to­riz­za­to si nasconda dietro al pacchetto IP rimane ignoto al sistema che deve ri­spon­de­re, cosa che rende uti­liz­za­bi­le l’IP spoofing per i già citati attacchi DoS e DDoS. Sono pensabili so­prat­tut­to i seguenti due scenari:

1. Sulla base dell’indirizzo sorgente rilevato, l’hacker invia i pacchetti in quantità elevate ai diversi sistemi all’interno della stessa rete. Questi ri­spon­do­no al contatto, inviando a loro volta un pacchetto e cioè in realtà al computer estraneo, il cui indirizzo IP è stato uti­liz­za­to in­de­bi­ta­men­te.


2. Il computer di de­sti­na­zio­ne a cui si mira ottiene con­tem­po­ra­nea­men­te i pacchetti di diversi indirizzi IP falsi e viene così so­vrac­ca­ri­ca­to.

I computer, dei quali l’hacker ha rilevato l’indirizzo IP, possono quindi essere il target degli attacchi DDoS o fare parte di una rete di bot che mira a rea­liz­za­re misure simili verso altri computer. In entrambi i casi l’hacker rimane in incognito, visto che i pacchetti inviati sembrano uf­fi­cial­men­te provenire da quei computer che di­spon­go­no degli indirizzi IP dei quali è stato preso il controllo.

Es­sen­zial­men­te un hacker può far partire un so­vrac­ca­ri­co causato in­ten­zio­nal­men­te da un luogo qualsiasi, a patto che il computer di de­sti­na­zio­ne sia collegato ad Internet. Se, invece, il computer dell’intruso non si trova nella stessa sottorete, risulta ormai molto più difficile tentare di accedere di­ret­ta­men­te al traffico dati. Ciò viene motivato dal fatto che l’in­ter­cet­ta­zio­ne di un pacchetto avviene solo tramite un numero di sequenza del pacchetto cor­ri­spon­den­te, un proposito che oggi rispetto a prima è quasi im­pos­si­bi­le, se ef­fet­tua­to dall’esterno.

In passato i sistemi operativi e i di­spo­si­ti­vi di rete ge­ne­ra­va­no il so­vrac­ca­ri­co con i numeri di pro­ce­di­men­to inseriti nell’header TCP, ancora sempre secondo uno stesso schema. In questo modo gli hacker potevano sem­pli­ce­men­te inviare diversi pacchetti al sistema lo­ca­liz­za­to in via spe­ri­men­ta­le e, grazie alle conferme di ricezione, riu­sci­va­no a predire i numeri di sequenza suc­ces­si­vi. Inoltre potevano leggere o ma­ni­po­la­re il pacchetto che si nasconde dietro il numero e infine inol­trar­lo con l’indirizzo IP del mittente fal­si­fi­ca­to, senza che venisse rilevato niente dai due sistemi co­mu­ni­can­ti.

Visto che molti sistemi si basavano su un pro­ce­di­men­to di login basato su host, i dati come il nome utente e le password non venivano trasmessi crit­to­gra­fa­ti e perciò l’hacker, con un po’ di fortuna, poteva persino in­stau­ra­re una con­nes­sio­ne vera e propria. Poiché i sistemi odierni emettono i numeri di sequenza in modo casuale, questo TCP sequence pre­dic­tion attack (chiamato anche spoofing cieco) è diventato es­sen­zial­men­te inef­fi­ca­ce, anche se i di­spo­si­ti­vi più vecchi con­ti­nua­no a essere in pericolo.

Se l’IP spoofer si muove nella stessa sottorete del sistema attaccato, ad esempio in una rete locale, giunge al numero di sequenza e quindi al pacchetto IP che si nasconde dietro questo, es­sen­zial­men­te in maniera più facile. Al posto di co­mu­ni­ca­re fa­ti­co­sa­men­te questo IP, può filtrare tutto il traffico dati, ana­liz­zar­lo e se­le­zio­na­re tutti i pacchetti de­si­de­ra­ti. Per questo motivo si parla anche di spoofing non cieco.

Gli esperti di sicurezza e gli spe­cia­li­sti del mondo in­for­ma­ti­co si occupano da decenni della tematica dell’IP spoofing. In par­ti­co­la­re il fatto che si possono condurre gli attacchi DoS e DDoS fa­cil­men­te, rende il pro­ce­di­men­to della ma­ni­po­la­zio­ne dell’IP per i cyber criminali ancora oggi in­te­res­san­te. Perciò da tempo è stata fatta la richiesta di ef­fet­tua­re un fil­trag­gio mirato del traffico in uscita tramite Internet provider, che dovrebbe rilevare e rifiutare i pacchetti che pre­sen­ta­no degli indirizzi sorgente al di fuori della rete data. Il dispendio di energie e il costo sono però i motivi prin­ci­pa­li che vengono sollevati per l’ina­dem­pi­men­to di questa richiesta.

Un altro motivo per la presa di posizione titubante dei provider potrebbe inoltre risiedere nelle proprietà di sicurezza della versione rie­la­bo­ra­ta del pro­to­col­lo Internet IPv6. Tra gli altri il suc­ces­so­re attuale dell’ancora oggi molto diffuso IPv4 comprende diverse pos­si­bi­li­tà opzionali di au­ten­ti­ca­zio­ne e crip­ta­zio­ne per l’header dei pacchetti che po­treb­be­ro in futuro impedire com­ple­ta­men­te l’IP spoofing. Il passaggio al nuovo pro­to­col­lo di in­di­riz­za­men­to rimane ancora, tuttavia, una questione aperta, infatti diversi di­spo­si­ti­vi di rete attuali mancano di un supporto IPv6.

Per evitare che un hacker fal­si­fi­chi il vostro indirizzo IP e lo usi il­le­gal­men­te, avete quindi solo la pos­si­bi­li­tà di prendere l’ini­zia­ti­va, im­po­stan­do dei vostri mec­ca­ni­smi di pro­te­zio­ne. Per fare ciò con­cen­tra­te­vi sulle seguenti due misure:

• Impostate un fil­trag­gio dei pacchetti completo per il vostro router o gateway di sicurezza, che dovrebbe ana­liz­za­re i pacchetti dati in entrata e ri­fiu­tar­li, nel caso in cui pre­sen­ti­no degli indirizzi sorgente dei di­spo­si­ti­vi all’interno della vostra rete. Poi dovreste anche occuparvi per­so­nal­men­te del fil­trag­gio dei pacchetti in uscita con indirizzi del mittente che si trovano al di fuori della vostra rete, anche se gli esperti di sicurezza ritengono che questo incarico rientri tra gli obblighi degli Internet provider.

• Ri­nun­cia­te ai pro­ce­di­men­ti di au­ten­ti­ca­zio­ne basati su host. Pre­oc­cu­pa­te­vi che tutti i login avvengano tramite con­nes­sio­ni crit­to­gra­fa­te. Così mi­ni­miz­za­te il rischio di un attacco di IP spoofing all’interno della vostra rete e impostate nel frattempo anche degli standard im­por­tan­ti per la sicurezza generale.

Inoltre dovreste ov­via­men­te cambiare i vecchi sistemi operativi e i di­spo­si­ti­vi di rete, qualora li uti­liz­zia­te ancora. In questo modo non solo au­men­te­re­te la pro­te­zio­ne contro l’IP spoofing, ma ri­sol­ve­re­te anche altre in­nu­me­re­vo­li falle di sicurezza.