IP spoofing: come gli hacker riescono a manipolare i pacchetti facilmente

Indipendentemente che navighiate su Internet come privati o che siate responsabili di una rete locale, la protezione dagli accessi indesiderati e dagli attacchi che danneggiano il sistema ricopre un ruolo sempre più importante. Da decenni i cyber criminali riescono a trovare molti modi per accedere a sistemi di computer estranei e provocano così dei danni, più o meno gravi. Se l’intruso sa bene come fare il proprio mestiere, difficilmente ci si accorgerà dell’attacco. Inoltre molti hacker sanno anche come nascondere le proprie tracce, così che con i mezzi usuali sia pressoché impossibile individuare successivamente il punto di origine degli attacchi.

Una delle tecniche hacker più amate di sempre è il così chiamato spoofing (in italiano “manipolazione, occultamento”) che nella sua forma originaria, quella dell’IP spoofing, era già molto diffusa tra gli esperti negli anni ’80.

L’IP spoofing è un procedimento dove nei protocolli TCP/IP o UDP/IP vengono inviati dei pacchetti con un indirizzo del mittente falso. Così l’hacker accede all’indirizzo di un sistema autorizzato e attendibile. In questo modo può inserire dei propri pacchetti nel sistema estraneo che sarebbe altrimenti bloccato da un sistema di filtraggio. Nella maggior parte dei casi l’IP spoofing serve a eseguire attacchi DoS e DDoS.

Tuttavia, in precise circostanze l’hacker può intercettare o manipolare con l’IP rilevato anche il traffico dati tra due o più sistemi. Oggigiorno, però, questi attacchi man in the middle effettuati tramite IP spoofing, prevedono (con solo qualche eccezione) che l’hacker si trovi nella stessa sottorete della vittima.

La possibilità di contraffare l’indirizzo IP è così data dal fatto che l’indirizzo sorgente e quello di destinazione, che ogni pacchetto IP comprende nel suo header, non sono sufficientemente protetti dalla manipolazione. Non esistono né meccanismi per crittografare queste informazioni, né altri procedimenti per verificare la loro correttezza. L’hacker con un semplice attacco di IP spoofing non ottiene alcun accesso al traffico dati. Infatti modifica solo la voce dell’indirizzo nel pacchetto corrispondente, mentre l’indirizzo IP reale rimane invariato. Così la risposta ai dati inviati non arriva a quest’ultimo, ma al computer del quale ha inserito l’indirizzo.

Il fatto che un terzo partecipante non autorizzato si nasconda dietro al pacchetto IP rimane ignoto al sistema che deve rispondere, cosa che rende utilizzabile l’IP spoofing per i già citati attacchi DoS e DDoS. Sono pensabili soprattutto i seguenti due scenari:

1. Sulla base dell’indirizzo sorgente rilevato, l’hacker invia i pacchetti in quantità elevate ai diversi sistemi all’interno della stessa rete. Questi rispondono al contatto, inviando a loro volta un pacchetto e cioè in realtà al computer estraneo, il cui indirizzo IP è stato utilizzato indebitamente.


2. Il computer di destinazione a cui si mira ottiene contemporaneamente i pacchetti di diversi indirizzi IP falsi e viene così sovraccaricato.

I computer, dei quali l’hacker ha rilevato l’indirizzo IP, possono quindi essere il target degli attacchi DDoS o fare parte di una rete di bot che mira a realizzare misure simili verso altri computer. In entrambi i casi l’hacker rimane in incognito, visto che i pacchetti inviati sembrano ufficialmente provenire da quei computer che dispongono degli indirizzi IP dei quali è stato preso il controllo.

Essenzialmente un hacker può far partire un sovraccarico causato intenzionalmente da un luogo qualsiasi, a patto che il computer di destinazione sia collegato ad Internet. Se, invece, il computer dell’intruso non si trova nella stessa sottorete, risulta ormai molto più difficile tentare di accedere direttamente al traffico dati. Ciò viene motivato dal fatto che l’intercettazione di un pacchetto avviene solo tramite un numero di sequenza del pacchetto corrispondente, un proposito che oggi rispetto a prima è quasi impossibile, se effettuato dall’esterno.

In passato i sistemi operativi e i dispositivi di rete generavano il sovraccarico con i numeri di procedimento inseriti nell’header TCP, ancora sempre secondo uno stesso schema. In questo modo gli hacker potevano semplicemente inviare diversi pacchetti al sistema localizzato in via sperimentale e, grazie alle conferme di ricezione, riuscivano a predire i numeri di sequenza successivi. Inoltre potevano leggere o manipolare il pacchetto che si nasconde dietro il numero e infine inoltrarlo con l’indirizzo IP del mittente falsificato, senza che venisse rilevato niente dai due sistemi comunicanti.

Visto che molti sistemi si basavano su un procedimento di login basato su host, i dati come il nome utente e le password non venivano trasmessi crittografati e perciò l’hacker, con un po’ di fortuna, poteva persino instaurare una connessione vera e propria. Poiché i sistemi odierni emettono i numeri di sequenza in modo casuale, questo TCP sequence prediction attack (chiamato anche spoofing cieco) è diventato essenzialmente inefficace, anche se i dispositivi più vecchi continuano a essere in pericolo.

Se l’IP spoofer si muove nella stessa sottorete del sistema attaccato, ad esempio in una rete locale, giunge al numero di sequenza e quindi al pacchetto IP che si nasconde dietro questo, essenzialmente in maniera più facile. Al posto di comunicare faticosamente questo IP, può filtrare tutto il traffico dati, analizzarlo e selezionare tutti i pacchetti desiderati. Per questo motivo si parla anche di spoofing non cieco.

Gli esperti di sicurezza e gli specialisti del mondo informatico si occupano da decenni della tematica dell’IP spoofing. In particolare il fatto che si possono condurre gli attacchi DoS e DDoS facilmente, rende il procedimento della manipolazione dell’IP per i cyber criminali ancora oggi interessante. Perciò da tempo è stata fatta la richiesta di effettuare un filtraggio mirato del traffico in uscita tramite Internet provider, che dovrebbe rilevare e rifiutare i pacchetti che presentano degli indirizzi sorgente al di fuori della rete data. Il dispendio di energie e il costo sono però i motivi principali che vengono sollevati per l’inadempimento di questa richiesta.

Un altro motivo per la presa di posizione titubante dei provider potrebbe inoltre risiedere nelle proprietà di sicurezza della versione rielaborata del protocollo Internet IPv6. Tra gli altri il successore attuale dell’ancora oggi molto diffuso IPv4 comprende diverse possibilità opzionali di autenticazione e criptazione per l’header dei pacchetti che potrebbero in futuro impedire completamente l’IP spoofing. Il passaggio al nuovo protocollo di indirizzamento rimane ancora, tuttavia, una questione aperta, infatti diversi dispositivi di rete attuali mancano di un supporto IPv6.

Per evitare che un hacker falsifichi il vostro indirizzo IP e lo usi illegalmente, avete quindi solo la possibilità di prendere l’iniziativa, impostando dei vostri meccanismi di protezione. Per fare ciò concentratevi sulle seguenti due misure:

• Impostate un filtraggio dei pacchetti completo per il vostro router o gateway di sicurezza, che dovrebbe analizzare i pacchetti dati in entrata e rifiutarli, nel caso in cui presentino degli indirizzi sorgente dei dispositivi all’interno della vostra rete. Poi dovreste anche occuparvi personalmente del filtraggio dei pacchetti in uscita con indirizzi del mittente che si trovano al di fuori della vostra rete, anche se gli esperti di sicurezza ritengono che questo incarico rientri tra gli obblighi degli Internet provider.

• Rinunciate ai procedimenti di autenticazione basati su host. Preoccupatevi che tutti i login avvengano tramite connessioni crittografate. Così minimizzate il rischio di un attacco di IP spoofing all’interno della vostra rete e impostate nel frattempo anche degli standard importanti per la sicurezza generale.

Inoltre dovreste ovviamente cambiare i vecchi sistemi operativi e i dispositivi di rete, qualora li utilizziate ancora. In questo modo non solo aumenterete la protezione contro l’IP spoofing, ma risolverete anche altre innumerevoli falle di sicurezza.