Czym jest sniffing i jak wykorzystują go hakerzy?

Każdy z nas kojarzy filmy, w których tajni szpiedzy łapią złoczyńców dzięki podsłuchiwaniu ich rozmów telefonicznych. Jak się okazuje, taka sytuacja może przytrafić się nie tylko w filmie, ale i w rzeczywistości. Ataki polegające na „podsłuchiwaniu” danych wysyłanych przez Internet, jak np. sniffing, są dziś na porządku dziennym, a hakerzy wykorzystują coraz bardziej zaawansowane metody, by osiągnąć zamierzony cel. Jak działa sniffing, jak go rozpoznać i co zrobić, by zapobiegać tego typu atakom?

Czym jest sniffing?

Mianem sniffingu (ang. węszenie) określa się technikę polegającą na monitoringu i analizowaniu ruchu w sieci, a następnie pozyskiwaniu ważnych informacji i wykorzystywaniu ich ze szkodą dla ofiary. Kogo atakuje haker wykorzystujący sniffery, czyli urządzenie lub oprogramowanie szpiegujące? Zazwyczaj nie są to osoby prywatne, a raczej instytucje rządowe oraz mniejsze lub większe firmy, które operują wrażliwymi informacjami, takimi jak np. dane do logowania do profilu firmowego, hasła bankowe czy też numery kart płatniczych. Niestety, szkodliwe oprogramowanie można dziś zainstalować na niemal każdym komputerze, który jest podłączony do lokalnej sieci i to bez konieczności bezpośredniej ingerencji w system. Co to oznacza? Działania hakera mogą pozostać niewykryte przez ofiarę przez praktycznie cały czas połączenia sniffera z jego siecią.

Warto jednak zaznaczyć, że ataki sniffingowe nie zawsze są szkodliwe. Czasami dostawcy usług internetowych decydują się na wykorzystanie snifferów jako narzędzi diagnostycznych, by móc podsłuchiwać i analizować ruch sieciowy. Pozwala im to na szybsze wykrycie problemów związanych z przepustowością i płynnością przepływu danych, a także na naprawienie tych błędów i zapobieganie im.

Rodzaje ataków sniffingowych

Ataki polegające na sniffingu dzielą się na dwie kategorie:

• aktywny sniffing – polega on na wykonywaniu określonych czynności lub interakcji hakera w celu atakowania pamięci asocjacyjnej switcha (CAM), odpowiedzialnej za przechowywanie adresów MAC urządzeń podłączonych do sieci. Gdy dany switch jest atakowany, dane, które przez niego przechodzą, są przechwytywane i kierowane do innych portów kontrolowanych przez hakera;
• pasywny sniffing – ten rodzaj szpiegowania odbywa się zazwyczaj w centrum sieci, czyli w koncentratorze, który odbiera ruch w określonym porcie, a następnie przesyła go na pozostałe. W sytuacji, gdy sniffer zostanie umieszczony w centrum, ruch sieciowy może być całkowicie przechwycony przez hakera, który pozostaje niewidoczny przez cały okres szpiegowania. Warto jednak dodać, że dziś koncentratory coraz częściej zastępowane są przełącznikami, w związku z czym sniffing pasywny przybiera z reguły formę aktywną.

Przykłady ataków sniffingowych

Istnieje wiele metod wykorzystywanych przez hakerów w celu podsłuchiwania ruchu sieciowego, spośród których najpopularniejszą jest atak Man-In-The-Middle. Pozostałe przykłady ataków sniffingowych to:

• LAN Sniff – sniffer atakuje sieć LAN i skanuje adres IP, by uzyskać dostęp do aktywnych hostów;
• Protocol Sniff – bazuje na protokołach sieciowych, takich jak ICMP, UDP, Telnet, DNS lub PPP;
• ARP Sniff – ma na celu stworzenie mapy adresów IP oraz powiązanych z nimi adresów MAC;
• podsłuchiwanie haseł internetowych – pomaga to hakerowi w zdobyciu danych do logowania oraz innych poufnych informacji;
• kradzież sesji TCP – służy nie tylko do monitorowania, ale i pozyskiwania danych związanych z ruchem pomiędzy adresem IP źródłowym a docelowym;
• sniffing na poziomie aplikacji – atakowane są aplikacje znajdujące się na serwerze, by móc w ten sposób zaplanować na nich określony atak cybernetyczny.

Jak zapobiegać cyberatakom sniffingowym?

Niestety, wykrycie sniffera zainstalowanego na komputerze, routerze lub innym urządzeniu sieciowym nie jest proste i wymaga rozległej wiedzy informatycznej. Pomocne w tej kwestii może okazać się przeprowadzenie testów ruchu DNS przez administratora sieci. Najprostszym rozwiązaniem jest jednak umiejętne zabezpieczenie się przed sniffingiem, które polega przede wszystkim na:

• szyfrowaniu wszystkich wysyłanych i odbieranych danych za pomocą VPN;
• skanowaniu i monitorowaniu sieci w celu wyszukania problemów lub zagrożeń;
• korzystaniu wyłącznie z zaufanych sieci wi-fi.

A najskuteczniejszym rozwiązaniem jest zastosowanie weryfikacji behawioralnej. Jej działanie polega na ciągłej analizie zachowań użytkownika, a w przypadku wykrycia anomalii (np. przejęcie dostępu do konta lub uruchomienie zdalnego pulpitu) blokuje dostęp. Jeśli chcesz dowiedzieć się więcej o naszym rozwiązaniu, przeczytaj artykuł o tym, czym jest weryfikacja behawioralna!