Il furto di identità è sempre una minaccia, indipendentemente dal mezzo. Il cosiddetto “IP spoofing” è un modo comune per gli utenti malintenzionati di guadagnare rapidamente credibilità per i loro tentativi di hacking.

Dato che ogni computer e server ha un identificatore unico (un “protocollo internet” – o indirizzo IP), quasi chiunque usi internet potrebbe essere vulnerabile. L’IP spoofing è un modo per “falsificare” l’aspetto di un indirizzo sorgente (come un indirizzo email) come tecnica di impersonificazione. Può presentarsi in varie forme, quindi dovete stare in guardia.

In questo articolo parleremo dell’IP spoofing, cos’è, perché potete essere un bersaglio e altro. Parleremo anche di alcuni degli attacchi di IP spoofing più comuni che incontrerete, così come di alcuni usi legittimi dell’IP spoofing.

Cos’È l’IP Spoofing?

In senso generale, l’IP spoofing prende una parte dei dati che inviate su internet e li fa sembrare come se provenissero da una fonte legittima. IP spoofing è un termine ad ampio raggio per molti attacchi diversi:

  • Spoofing dell’indirizzo IP: Questo è un semplice offuscamento dell’indirizzo IP dell’attaccante per condurre attacchi denial-of-service (DoS) e altro.
  • Spoofing del server dei nomi di dominio (DNS): Questo modificherà l’IP di origine del DNS per reindirizzare un nome di dominio su un IP diverso.
  • Spoofing del protocollo di risoluzione degli indirizzi (ARP, da Address Resolution Protocol): Un tentativo di spoofing ARP è uno degli attacchi più complessi. Consiste nel collegare l’indirizzo MAC (Media Access Control) di un computer a un IP legittimo utilizzando messaggi ARP falsificati.

Per essere più tecnici, l’IP spoofing prende i dati e cambia alcune informazioni identificabili a livello di rete. Questo rende lo spoofing quasi non rilevabile.

Per esempio, prendete un attacco DoS.

Questo si basa su un insieme di bot che usano indirizzi IP falsificati per inviare dati a un particolare sito e server, mettendolo offline. In questo caso, lo spoofing dell’IP rende l’attacco difficile da rilevare finché non è troppo tardi, ed è altrettanto difficile da rintracciare dopo il fatto.

Anche gli attacchi Machine-in-the-middle (MITM) utilizzano lo spoofing dell’IP perché l’approccio MITM si basa sulla falsa fiducia tra due endpoint. Parleremo più dettagliatamente di entrambi questi attacchi più avanti.

Come Avviene l’IP Spoofing

Per capire meglio l’IP spoofing, diamo un po’ di contesto su come internet invia e usa i dati.

Ogni computer usa un indirizzo IP e qualsiasi dato che inviate è suddiviso in tanti pezzi (“pacchetti”). Ogni pacchetto viaggia in modo individuale. Poi una volta che raggiungono la fine della catena, vengono riassemblati e presentati come un tutto. Inoltre, ogni pacchetto ha anche le sue informazioni identificabili (una “intestazione”) che includerà l’indirizzo IP sia della fonte che della destinazione.

In teoria, questo dovrebbe assicurare che i dati arrivino a una destinazione senza manomissioni. Però non è sempre il caso.

L’IP spoofing usa l’intestazione IP di origine e cambia alcuni dettagli per farlo sembrare genuino. Come tale, questo può violare anche la più rigorosa e sicura delle reti. Il risultato è che gli ingegneri web spesso cercano di trovare nuovi modi per proteggere le informazioni che viaggiano attraverso il web.

Per esempio, IPv6 è un protocollo più recente che costruisce la crittografia e l’autenticazione. Per gli utenti finali, la secure shell (SSH) e il secure socket layer (SSL) aiutano a mitigare gli attacchi, ma discuteremo più avanti del motivo per cui questo non può eliminare il problema. Maggiore è il numero di passaggi di crittografia che implementate, meglio potete proteggere il vostro computer, almeno in teoria.

Vale anche la pena notare che l’IP spoofing non è una pratica illegale, ed è per questo che è diffuso. Esistono molti modi per usare legittimamente l’IP spoofing e li discuteremo in un’altra sezione. Per questo, mentre l’IP spoofing permette agli hacker di mettere un piede oltre la porta, potrebbe anche non essere l’unica tecnica per violare la sicurezza.

Perché il Vostro IP È un Obiettivo dello Spoofing

Mettendo da parte tutte le considerazioni morali ed etiche, l’identità di un altro utente ha un valore immenso. Dopo tutto, ci sono molte persone malintenzionate che, data l’opportunità, userebbero volentieri l’identità di qualcun altro per ottenere qualcosa, senza farsi nessuno scrupolo.

Lo spoofing di indirizzi IP è una ricerca di alto valore per molti utenti malintenzionati. L’atto dell’IP spoofing in sé non ha molto valore, ma le opportunità che apre potrebbero essere il jackpot.

Per esempio, attraverso l’IP spoofing, un utente potrebbe impersonare un indirizzo più affidabile per ottenere informazioni personali (e altro) da un utente ignaro.

Questo può anche avere un effetto a catena quando si tratta di altri utenti. Un hacker non ha bisogno di falsificare l’IP di ogni suo target, gliene basta uno per violare le difese. Usando queste credenziali rubate, lo stesso hacker può anche guadagnare la fiducia di altre persone nella rete e portarle a condividere informazioni personali.

Per questo l’IP di per sé non ha valore. Tuttavia, a seconda di ciò che viene fatto con l’IP spoofato, il guadagno può essere enorme e anche il potenziale di accesso ad altri sistemi attraverso lo spoofing dell’IP non è insignificante.

3 Tipi Più Comuni di Attacchi da IP Spoofing

L’IP spoofing si presta bene a certi tipi di attacchi. Esaminiamo i prossimi tre.

1. Mascheramento delle Botnet

Una botnet è una rete di computer che un attaccante controlla da una singola fonte. Ognuno di questi computer esegue un bot dedicato, che esegue gli attacchi per conto dell’attore malintenzionato. Scoprirete che la capacità di mascherare le botnet non sarebbe possibile senza lo spoofing dell’IP.

In circostanze normali, gli hacker ottengono il controllo attraverso un’infezione, come un malware. L’uso delle botnet può aiutare un utente malintenzionato a eseguire attacchi spam o DDoS, frodi pubblicitarie, attacchi ransomware e molto altro. È un modo versatile per eseguire attacchi mirati contro altri utenti.

Parte della ragione di questo è lo spoofing dell’IP. Ogni bot nella rete ha spesso un IP spoofed, e quindi l’attore malintenzionato è difficile da rintracciare.

Il vantaggio principale dello spoofing degli IP è quello di eludere le forze dell’ordine, ma non è l’unico.

Per esempio, l’utilizzo di botnet con IP spoofed impedisce anche all’obiettivo di notificare le principali vittime del problema. Per cominciare, questo può prolungare l’attacco e permettere all’hacker di “spostare” l’attenzione su altri obiettivi. In teoria, potrebbe risultare in un attacco che funziona all’infinito per massimizzare il risultato.

2. Attacchi DDoS (Direct Denial of Service)

Se un sito va giù a causa di un eccessivo e schiacciante traffico malevolo sul server, si tratta di un attacco DDoS. Può essere paralizzante per qualsiasi persona che possiede un sito e ci sono molti modi per mitigarne gli effetti.

Questo copre diversi attacchi di spoofing correlati e tecniche che si combinano per creare l’intero attacco.

Spoofing DNS

In primo luogo, un utente malintenzionato guarderà al DNS spoofing per infiltrarsi in una rete. Una persona malintenzionata userà lo spoofing per alterare il nome del dominio associato al DNS con un altro indirizzo IP.

Da qui, potrebbe effettuare moltissimi altri attacchi, ma l’infezione da malware è una scelta popolare. Poiché essenzialmente devia il traffico dalle fonti legittime a quelle maligne senza essere rilevato, è facile infettare un altro computer. Da lì, più macchine soccomberanno all’infezione e creeranno la botnet per portare avanti l’attacco DDoS in modo efficiente.

Spoofing dell’Indirizzo IP

Dopo lo spoofing del DNS, l’attaccante effettuerà altri spoofing dell’indirizzo IP per aiutare a offuscare i singoli bot all’interno della rete. Questo spesso segue un processo di randomizzazione perpetua. Lindirizzo IP non rimane mai lo stesso per troppo tempo, il che lo rende praticamente impossibile da rilevare e tracciare.

Questo attacco a livello di rete è impossibile da rilevare per un utente finale (e anche per molti esperti lato server). È un modo efficace per portare a termine aggressioni dannose senza conseguenze.

ARP Poisoning

Lo spoofing ARP (o “poisoning”) è un altro modo per condurre attacchi DDoS. È molto più complesso dell’IP spoofing e del metodo della forza bruta per mascherare le botnet, ma li incorpora entrambi per portare a termine un attacco.

L’idea è quella di prendere di mira una rete locale (LAN) e inviare attraverso pacchetti di dati ARP malevoli per cambiare gli indirizzi IP impostati in una tabella MAC. È un modo semplice per un attaccante di ottenere l’accesso a un gran numero di computer in una volta sola.

L’obiettivo di un ARP poisoning è quello di incanalare tutto il traffico di rete attraverso un computer infetto, per poi manipolarlo da lì. Questo è semplice da fare attraverso il computer dell’attaccante e gli permette di scegliere tra un attacco DDoS o un attacco MITM.

3. Attacchi MITM

Gli attacchi Machine-in-the-Middle (MITM) sono particolarmente complessi, altamente efficaci e davvero catastrofici per una rete.

Questi attacchi sono un modo per intercettare i dati dal vostro computer prima che arrivino al server a cui vi connettete (per esempio, con il vostro browser web). Questo permette all’attaccante di interagire con voi usando siti web falsi per rubare le vostre informazioni. In alcuni casi, l’attaccante è una terza parte che intercetta la trasmissione tra due fonti legittime, il che aumenta l’efficacia dell’attacco.

Naturalmente, gli assalti MITM si basano sullo spoofing dell’IP poiché deve esserci una violazione della fiducia senza che l’utente ne sia consapevole. Inoltre, c’è un valore maggiore nel portare avanti un attacco MITM rispetto ad altri perché un hacker può continuare a raccogliere dati a lungo termine e venderli ad altri.

I casi reali di attacchi MITM mostrano come entra in gioco l’IP spoofing. Se si spoofa un indirizzo IP e si ottiene l’accesso agli account di comunicazione personali, è possibile tracciare qualsiasi aspetto di quella comunicazione. Da lì, potete raccogliere informazioni, indirizzare gli utenti verso siti web falsi e molto altro.

Nel complesso, un attacco MITM è un modo pericoloso e altamente redditizio per ottenere informazioni sugli utenti e l’IP spoofing ne è una parte centrale.

Perché l’IP Spoofing È Pericoloso per il Vostro Sito e per gli Utenti

Poiché l’IP spoofing è qualcosa che avviene a un basso livello di rete, è un pericolo per quasi tutti gli utenti su internet.

Phishing e spoofing vanno di pari passo. E un buon attacco di spoofing non si presenterà come un tentativo di phishing. Questo significa che gli utenti non avranno alcuna indicazione per essere diffidenti e potrebbero consegnare informazioni sensibili come risultato.

Gli elementi critici per il business saranno un obiettivo primario, come i sistemi di sicurezza e i firewall. Questo è il motivo per cui la sicurezza del sito è la preoccupazione numero uno per molti. Non solo dovete implementare abbastanza funzionalità per mitigare un attacco, ma dovete anche assicurarvi che gli utenti della vostra rete siano vigili e usino buone pratiche di sicurezza.

Logo Wordfence con la silhouette di una recinzione e uno scudo blu a sinistra, sotto il motto "Securing your WordPress investment".
Il plugin Wordfence è una solida soluzione di sicurezza che aiuta a proteggervi dall’IP spoofing.

 

Tuttavia, un aspetto dell’IP spoofing rende il suo contenimento meno semplice: la tecnica ha molti casi d’uso legittimi sul web.

Usi Legittimi dell’IP Spoofing

Poiché l’IP spoofing si può usare anche per motivi legittimi, c’è poco che potete fare per impedire agli altri di usarlo.

Per esempio, migliaia di “hacker etici” cercano di testare i sistemi per le aziende. Questo tipo di hacking etico è una violazione sanzionata del sistema, progettata per testare le risorse e la forza della sicurezza.
Segue lo stesso processo dell’hacking maligno. L’utente effettua un lavoro di ricognizione sull’obiettivo, ottiene e mantiene l’accesso al sistema e offusca la sua penetrazione.

Scoprirete spesso che gli hacker non etici si convertono all’etica e trovano lavoro con aziende che in passato sarebbero state un loro obiettivo. Potete anche trovare esami ufficiali e certificazioni che vi aiutano a ottenere le credenziali adeguate.

Alcune aziende usano anche l’IP spoofing in esercizi di simulazione non collegati a violazioni del sistema. Per esempio, il mailing di massa sono un buon caso d’uso per migliaia di indirizzi IP, e tutti dovranno essere creati attraverso lo spoofing (legittimo).

Anche i test di registrazione degli utenti utilizzano lo spoofing dell’IP per simulare i risultati. Qualsiasi situazione in cui avete bisogno di simulare molti utenti è un caso ideale per l’IP spoofing etico.

Perché Non Potete Prevenire l’IP Spoofing

Poiché lo spoofing è così difficile da individuare e poiché la natura del metodo è quella di nascondere una vera identità, c’è poco da fare per evitare che accada. Tuttavia, potete minimizzare il rischio e annullarne l’impatto.

È importante notare che un utente finale (cioè la macchina lato client) non può fermare lo spoofing in alcun modo. È compito del team lato server prevenire l’IP spoofing nel miglior modo possibile.

Ci sono alcuni modi per aggiungere blocchi tra un hacker e un potenziale obiettivo. Alcuni menzionati finora includono:

Ma c’è anche altro che potete fare. Per esempio, potete usare un web application firewall (WAF) dedicato come Sucuri, che vi aiuterà a “costruire muri alti” intorno al vostro sito.

Il logo Sucuri sopra le parole "Real People, Real Security" in verde.
Il logo Sucuri.

Potete anche implementare un’infrastruttura critica pubblica (public critical infrastructure o PKI) per aiutare ad autenticare gli utenti e i dati associati. Questo si basa su una combinazione di chiave privata e pubblica per criptare e decriptare i dati. A causa della natura della crittografia, è molto più difficile da violare per gli hacker.

Il monitoraggio della rete è una tecnica di base che può anche aiutarvi a individuare i segni di IP spoofing o di attacchi correlati. Questo può assumere molte forme, ma meglio conoscete il vostro sistema, maggiore è la possibilità di individuare attacchi maligni.

Anche il filtraggio dei pacchetti può aiutare a combattere i tentativi di IP spoofing. Il filtraggio “in entrata” e “in uscita” controlla le intestazioni di origine per le comunicazioni in entrata e in uscita. Se qualcosa non passa il filtro, non influenzerà gli utenti all’interno della rete.

Infine, l’ispezione profonda dei pacchetti (DPI) è una tecnica simile e è altrettanto efficace. Questo, insieme agli altri metodi, può anche essere combinato per aiutare a rinforzare una rete o un server.

Riepilogo

Il vostro indirizzo IP è unico per voi e per ogni computer in uso oggi. Quell’indirizzo aiuta a realizzare molti compiti, come l’autenticazione, la crittografia e altro. Per estensione, questo rende quasi ogni indirizzo IP un target per aspiranti hacker o criminali.

L’IP spoofing finge la legittimità di un indirizzo e lo usa per violare le reti sicure in modo da ricavarci dei guadagni.

Risolvere l’IP spoofing è qualcosa che sfugge al controllo dell’utente finale e può essere difficile da gestire anche per i sysadmin. Nel complesso, potete solo mitigare l’impatto che l’IP spoofing ha sulla vostra rete piuttosto che sradicarlo completamente.

Anche così, ci sono molti ostacoli che potete mettere sulla strada di un utente potenzialmente malintenzionato. I tipici metodi di crittografia aiutano, così come un buon firewall e una strategia di monitoraggio della rete.

Avete subito IP spoofing? Se sì, come avete risolto la situazione? Condividete i vostri pensieri nella sezione commenti qui sotto!

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.