Site icon ComputerWizardPC

IP spoofing: quando gli aggressori mascherano il proprio IP

IP-Spoofing Illustration

La digitalizzazione ha anche i suoi lati negativi. Con l’aumento della rete, sempre più criminali informatici cercano di accedere ai vostri dati sensibili o di danneggiare il vostro sistema attraverso un attacco. Per farlo, gli hacker utilizzano vari metodi per nascondere la vostra identità. Uno di questi è il cosiddetto spoofing IP, che sfrutta una debolezza del sistema nel protocollo TCP/IP. In questo articolo vi spieghiamo come funziona esattamente lo spoofing IP e come potete proteggervi al meglio da questi attacchi.

  • Con l’aiuto dello spoofing IP, gli hacker possono paralizzare intere reti di computer o aggirare facilmente l’autenticazione basata su IP.
  • Lo spoofing IP, nella sua forma originaria, era già un argomento trattato dagli esperti negli anni Ottanta.
  • Le migliori caratteristiche di sicurezza dell’IPv6 rendono gli attacchi di spoofing molto più difficili.

Cos’è lo spoofing IP e dove viene utilizzato?

Con lo spoofing IP, gli hacker sfruttano le debolezze del sistema nella famiglia dei protocolli TCP/IP per camuffare il proprio IP e inviare pacchetti di dati da un indirizzo falsificato o infiltrarsi in sistemi informatici stranieri. A tal fine, fanno credere al destinatario che i dati provengano da una fonte affidabile.

Fondamentalmente, si distingue tra due tipi di spoofing IP:

Nel contesto degli attacchi Dos e DDoS, anche il cosiddetto SYN flooding viene utilizzato sempre più spesso. Con l’aiuto di messaggi ACK “sottratti”, vengono deliberatamente attivati blocchi di servizio che portano a un sovraccarico di singoli componenti di un’infrastruttura IT .

I blocchi dei servizi innescati dall’IP spoofing portano a un sovraccarico dei singoli componenti dell’infrastruttura e, nel peggiore dei casi, possono addirittura paralizzare l’intero data center.

Buono a sapersi: L’indirizzo IP può essere mascherato anche tramite un server proxy, che però si limita a inoltrare i pacchetti. Ciò significa che anche con gli indirizzi mascherati, gli hacker possono comunque essere identificati dai file di log del server proxy.

Come si realizza tecnicamente la falsificazione dell’indirizzo IP?

Sebbene lo spoofer cambi la voce dell’indirizzo del pacchetto IP, l’indirizzo IP effettivo rimane intatto.

Ogni pacchetto IP contiene nell’intestazione un indirizzo di origine e uno di destinazione, per i quali oggi non esiste ancora una protezione sufficiente contro la manipolazione. Ciò significa che non vengono né criptati né controllati per verificarne la correttezza. In linea di principio, il destinatario deve quindi fidarsi ciecamente che i pacchetti provengano davvero dall’indirizzo specificato.

Con un semplice attacco di spoofing, un hacker non ottienedi per sé l’accesso al traffico dati. Può solo modificare la voce dell’indirizzo del rispettivo pacchetto, mentre l’indirizzo IP reale rimane invariato. La risposta ai dati inviati non arriva quindi direttamente all’attaccante, ma viene trasmessa al computer con l’indirizzo IP deviato.

Dalcanto loro, i pacchetti TCP sono tutti contrassegnati da un numero di sequenza univoco, che serve a garantire una trasmissione completa e priva di duplicati. Tuttavia, una volta che l’hacker si è agganciato al percorso di comunicazione sotto falsa identità (“session hijacking”), può prevedere con relativa facilità i numeri di sequenza in arrivo e quindi agire in background a suo piacimento.

Inoltre, i partecipanti si autenticano solo all’inizio della comunicazione. Una volta stabilita la connessione, si presume automaticamente che i parametri dell’altra parte non cambino più.

Buono a sapersi: I computer di cui viene rilevato l’indirizzo IP possono essere essi stessi l’obiettivo di un attacco o possono essere utilizzati in una rete come strumento per un attacco. In entrambi i casi, l’hacker stesso rimane sconosciuto.

Come posso proteggermi dallo spoofing IP?

L’IP spoofing funziona da qualsiasi luogo, il computer attaccato deve solo avere una connessione a Internet. Per questo motivo, la maggior parte delle contromisure è rivolta principalmente alle configurazioni di sicurezza, alle autorizzazioni e ai controlli di accesso.

Gli attacchi Dos o DDos che utilizzano lo spoofing IP sono spaventosamente semplici, motivo per cui gli esperti di sicurezza e gli specialisti IT li affrontano da decenni.

Il problema è all’attenzione degli specialisti informatici e dei responsabili della sicurezza da diversi decenni. Il fatto stesso che gli attacchi DoS e DDoS possano essere eseguiti con tale facilità rende lo spoofing IP uno dei metodi criminali più diffusi su Internet. Per questo motivo, in passato si è spesso chiesto ai provider di Internet di filtrare in modo specifico il traffico di dati e di registrare i pacchetti corrispondenti, compresi gli indirizzi di origine, al di fuori della rete, per poi scartarli.

Ciò che sembra così semplice non è solo uno sforzo considerevole, ma anche una questione di costi. Per questi motivi, finora nessuno ha voluto occuparsi di questa realizzazione.

3.1 L’IPv6 mette fine agli spoofers

Attivare il filtraggio dei pacchetti sul router di rete per negare l’accesso agli indirizzi provenienti dall’esterno.

Il protocollo IPv6 rivisto offre caratteristiche di sicurezza migliorate rispetto al suo predecessore IPv4. Queste includono, ad esempio, nuove tecniche di crittografia (opzionali) e procedure di autenticazione che renderanno lo spoofing IP completamente estinto nel prossimo futuro. Al momento, tuttavia, non tutti i comuni dispositivi di rete supportano il nuovo protocollo. Inoltre, il passaggio al nuovo protocollo richiederà probabilmente del tempo.

Naturalmente, questo non significa che siate semplicemente indifesi di fronte agli attacchi di offuscamento. Per scongiurare gli attacchi di spoofing IP, potete intervenire anche voi e predisporre misure di protezione adeguate:

Smaltire il vecchio hardware e sostituire il sistema operativo e i programmi con versioni più recenti per ridurre la vulnerabilità della rete allo spoofing IP.

Buono a sapersi: La maggior parte dei firewall attuali dispone già di uno strumento anti-spoofing integrato che randomizza i numeri di sequenza TCP. In questo modo, la previsione dei numeri in arrivo è resa molto più difficile.

Exit mobile version