Cosa succede quando lasciamo la nostra rete Wifi aperta e senza password? Cosa può fare qualcuno che si connette senza il nostro permesso? Quali pericoli corrono gli utenti della rete locale?
Spesso sento parlare di persone che lasciano la propria rete wireless senza password di protezione giustificando questa scelta con il fatto di avere una tariffa flat, ovvero non a consumo e senza limiti.
Questo ragionamento è sbagliato e potenzialmente dannoso poiché un intruso in una rete wifi può svolgere attività peggiori di quelle che ci si aspetta.
I rischi che si corrono sono davvero tantissimi ma in questo articolo ne analizzeremo uno, a mio parere, molto interessante.
Si tratta di ARP Poisoning e DNS Spoofing in relazione al Phishing. Vedremo ora cosa significa.
Cos’è un DNS
Partiamo dall’inizio: quando noi visitiamo un sito web siamo abituati a cercare e a vedere questo con il suo nome di dominio, per esempio google.it o facebook.com.
Ogni sito web si trova su un server che non è altro che un potente computer che custodisce il sito ed i suoi dati.
Ogni computer e server ha un indirizzo chiamato indirizzo IP.
Il sistema che collega il nome di dominio “in lettere” all’indirizzo IP “in cifre” è chiamato DNS.
DNS è un acronimo che sta per Domain Name System ovvero Sistema dei Nomi di Dominio.
Esempio
Troviamo l’indirizzo IP di Google:
Image may be NSFW.
Clik here to view.
Visitiamolo come se fosse un normale sito web:
Image may be NSFW.
Clik here to view.
Com’è possibile vedere, visitare il sito attraverso il suo nome di dominio o attraverso il suo indirizzo IP porta allo stesso risultato e potete provare anche voi cliccando qui: 173.194.116.47.
Questo è possibile perché i server DNS associano google.it a 173.194.116.47
DNS Spoofing
Il DNS Spoofing è una tecnica (derivata dall’ARP Poisoning) che permette a un utente all’interno di una rete locale di “ingannare” i dispositivi presenti con delle associazioni modificate tra nomi di dominio ed indirizzi IP.
Questo vuol dire che ad esempio il nome di dominio facebook.com può essere associato con l’indirizzo IP di un server dannoso senza che l’utente della rete possa accorgersene con conseguenti rischi per la privacy e la sicurezza.
Phishing
Il Phishing è una tecnica che permette ad un utente di “clonare” un sito web modificandolo in modo tale da poter ricevere, ad esempio per email, i parametri d’accesso che i visitatori inseriscono.
Cosa lega DNS Spoofing, Phishing e una rete non protetta?
Immaginiamo questa situazione: un utente trova una rete Wifi senza protezione, si collega e utilizzando la tecnica di cui ho parlato sopra associa i nomi di domini di webmail (per esempio libero.it, hotmail.it, gmail.com ecc.), banche e social network all’IP del suo server. Tutti gli altri utenti della rete saranno a loro insaputa collegati al server pronto per rubare le credenziali pur continuando a vedere l’URL corretto e “consegneranno” i propri parametri d’accesso al creatore della trappola.
Vediamo ora l’esempio concreto:
Image may be NSFW.
Clik here to view.
Impostiamo la scheda di rete in modo tale da poter ricevere i “pacchetti” di dati di qualsiasi dispositivo.
Image may be NSFW.
Clik here to view.
Prepariamo la nuova associazione tra facebook.com e l’indirizzo IP dannoso (da inviare nella rete) sostituendolo con 192.168.1.70 ovvero quello del computer dell’attaccante.
Avviamo lo strumento che immetterà in rete le false associazioni dominio IP
Image may be NSFW.
Clik here to view.
Assicuriamoci che l’operazione sia andata a buon fine:
Image may be NSFW.
Clik here to view.
Perfetto, adesso tutti i dispositivi che cercheranno di collegarsi a facebook.com si connetteranno in realtà al nostro computer.
Image may be NSFW.
Clik here to view.
Adesso non rimane che costruire il “sito-trappola” per catturare i dettagli d’accesso degli utenti che si connetteranno a facebook.com all’interno della rete. Per farlo utilizzeremo S.E.T. Social Engineer Toolkit.
Image may be NSFW.
Clik here to view.
Visitiamo il sito apparentemente reale di facebook.com
Image may be NSFW.
Clik here to view.
Come si può notare nella barra degli indirizzi è sempre presente il reale nome di dominio facebook.com mentre il contenuto della pagina è quello presente sul nostro computer, infatti una volta eseguito il login, i dati contenuti nei campi “email” e “password” saranno salvati sul nostro computer senza che l’utente che visita il sito si accorga di nulla.
Image may be NSFW.
Clik here to view.
Questo è solo un esempio delle centinaia di implicazioni che può avere il lasciare una rete Wi-Fi aperta ma rende perfettamente l’idea di quanto possano essere “potenti” e dannosi per la privacy questi tipi di attacchi. Si pensi allo stesso processo per un sito bancario.
Come difendersi
Difendersi da questo tipo di pericoli non è sempre semplice perché ogni giorno vengono scoperti nuovi sistemi per aggirare le protezioni, ma il mio consiglio è quello di proteggere la propria rete con una password molto complessa e di collegarsi sempre ai siti web utilizzando il protocollo https che non può essere compromesso.
Andrea Carriero | BTBH
https://btbh.net
https://codethinker.net
andrea@btbh.net
L'articolo DNS Spoofing e Phishing: rischi per WiFi non protetta sembra essere il primo su Matematicamente.