La digitalizzazione ha anche i suoi lati negativi. Con l’aumento della rete, sempre più criminali informatici cercano di accedere ai vostri dati sensibili o di danneggiare il vostro sistema attraverso un attacco. Per farlo, gli hacker utilizzano vari metodi per nascondere la vostra identità. Uno di questi è il cosiddetto spoofing IP, che sfrutta una debolezza del sistema nel protocollo TCP/IP. In questo articolo vi spieghiamo come funziona esattamente lo spoofing IP e come potete proteggervi al meglio da questi attacchi.
- Con l’aiuto dello spoofing IP, gli hacker possono paralizzare intere reti di computer o aggirare facilmente l’autenticazione basata su IP.
- Lo spoofing IP, nella sua forma originaria, era già un argomento trattato dagli esperti negli anni Ottanta.
- Le migliori caratteristiche di sicurezza dell’IPv6 rendono gli attacchi di spoofing molto più difficili.
Indice dei contenuti
Cos’è lo spoofing IP e dove viene utilizzato?
Con lo spoofing IP, gli hacker sfruttano le debolezze del sistema nella famiglia dei protocolli TCP/IP per camuffare il proprio IP e inviare pacchetti di dati da un indirizzo falsificato o infiltrarsi in sistemi informatici stranieri. A tal fine, fanno credere al destinatario che i dati provengano da una fonte affidabile.
Fondamentalmente, si distingue tra due tipi di spoofing IP:
- Nello spoofing non cieco, l’aggressore si trova nella stessa sottorete della vittima e utilizza l’indirizzo IP rubato per intercettare o manipolare il traffico di dati tra due o più computer (attacchi “man-in-the-middle”).
- Nel “blind spoofing”, invece, l’aggressore si trova all’esterno della sottorete. Da lì invia pacchetti di dati alla vittima per poter trarre conclusioni sui numeri di sequenza dalle conferme di ricezione.
Nel contesto degli attacchi Dos e DDoS, anche il cosiddetto SYN flooding viene utilizzato sempre più spesso. Con l’aiuto di messaggi ACK “sottratti”, vengono deliberatamente attivati blocchi di servizio che portano a un sovraccarico di singoli componenti di un’infrastruttura IT .
Buono a sapersi: L’indirizzo IP può essere mascherato anche tramite un server proxy, che però si limita a inoltrare i pacchetti. Ciò significa che anche con gli indirizzi mascherati, gli hacker possono comunque essere identificati dai file di log del server proxy.
Come si realizza tecnicamente la falsificazione dell’indirizzo IP?
Ogni pacchetto IP contiene nell’intestazione un indirizzo di origine e uno di destinazione, per i quali oggi non esiste ancora una protezione sufficiente contro la manipolazione. Ciò significa che non vengono né criptati né controllati per verificarne la correttezza. In linea di principio, il destinatario deve quindi fidarsi ciecamente che i pacchetti provengano davvero dall’indirizzo specificato.
Con un semplice attacco di spoofing, un hacker non ottienedi per sé l’accesso al traffico dati. Può solo modificare la voce dell’indirizzo del rispettivo pacchetto, mentre l’indirizzo IP reale rimane invariato. La risposta ai dati inviati non arriva quindi direttamente all’attaccante, ma viene trasmessa al computer con l’indirizzo IP deviato.
Dalcanto loro, i pacchetti TCP sono tutti contrassegnati da un numero di sequenza univoco, che serve a garantire una trasmissione completa e priva di duplicati. Tuttavia, una volta che l’hacker si è agganciato al percorso di comunicazione sotto falsa identità (“session hijacking”), può prevedere con relativa facilità i numeri di sequenza in arrivo e quindi agire in background a suo piacimento.
Inoltre, i partecipanti si autenticano solo all’inizio della comunicazione. Una volta stabilita la connessione, si presume automaticamente che i parametri dell’altra parte non cambino più.
Buono a sapersi: I computer di cui viene rilevato l’indirizzo IP possono essere essi stessi l’obiettivo di un attacco o possono essere utilizzati in una rete come strumento per un attacco. In entrambi i casi, l’hacker stesso rimane sconosciuto.
Come posso proteggermi dallo spoofing IP?
L’IP spoofing funziona da qualsiasi luogo, il computer attaccato deve solo avere una connessione a Internet. Per questo motivo, la maggior parte delle contromisure è rivolta principalmente alle configurazioni di sicurezza, alle autorizzazioni e ai controlli di accesso.
Il problema è all’attenzione degli specialisti informatici e dei responsabili della sicurezza da diversi decenni. Il fatto stesso che gli attacchi DoS e DDoS possano essere eseguiti con tale facilità rende lo spoofing IP uno dei metodi criminali più diffusi su Internet. Per questo motivo, in passato si è spesso chiesto ai provider di Internet di filtrare in modo specifico il traffico di dati e di registrare i pacchetti corrispondenti, compresi gli indirizzi di origine, al di fuori della rete, per poi scartarli.
Ciò che sembra così semplice non è solo uno sforzo considerevole, ma anche una questione di costi. Per questi motivi, finora nessuno ha voluto occuparsi di questa realizzazione.
3.1 L’IPv6 mette fine agli spoofers
Il protocollo IPv6 rivisto offre caratteristiche di sicurezza migliorate rispetto al suo predecessore IPv4. Queste includono, ad esempio, nuove tecniche di crittografia (opzionali) e procedure di autenticazione che renderanno lo spoofing IP completamente estinto nel prossimo futuro. Al momento, tuttavia, non tutti i comuni dispositivi di rete supportano il nuovo protocollo. Inoltre, il passaggio al nuovo protocollo richiederà probabilmente del tempo.
Naturalmente, questo non significa che siate semplicemente indifesi di fronte agli attacchi di offuscamento. Per scongiurare gli attacchi di spoofing IP, potete intervenire anche voi e predisporre misure di protezione adeguate:
- Una possibile contromisura contro lo spoofing IP è il filtro dei pacchetti sul router o sul gateway. In questo modo si analizzano i pacchetti in arrivo e si scartano tutti quelli che hanno come indirizzo di origine un computer interno alla rete. In questo modo, gli hacker non possono falsificare l’indirizzo di un computer interno dall’esterno. Per lo stesso motivo, è necessario filtrare anche gli indirizzi dei pacchetti in uscita e scartare tutti quelli il cui indirizzo di origine non è all’interno della rete.
- Inlinea di principio, non utilizzate metodi di autenticazione basati sull’host ed eseguite tutti i metodi di accesso tramite connessioni criptate. Questo non solo previene gli attacchi di spoofing, ma aumenta anche gli standard di sicurezza all’interno della rete.
- Se possibile, sostituite tutti i vecchi sistemi operativi, programmi e dispositivi di rete, poiché di solito non soddisfano più gli standard di sicurezza attuali. Oltre alla loro suscettibilità allo spoofing IP, spesso presentano numerose altre vulnerabilità di sicurezza che i criminali informatici potrebbero sfruttare.
Buono a sapersi: La maggior parte dei firewall attuali dispone già di uno strumento anti-spoofing integrato che randomizza i numeri di sequenza TCP. In questo modo, la previsione dei numeri in arrivo è resa molto più difficile.