IP spoofing: come funziona e come evitarlo

Lo spoofing è un tipo particolare di cyberattacco in cui qualcuno usa un computer, un dispositivo o una rete per camuffarsi da entità legittima e così tentare di imbrogliare altre reti informatiche. È uno dei tanti strumenti che gli hacker utilizzano per ottenere l'accesso a determinati computer ed estrarne dati sensibili, trasformandoli in computer zombie (computer acquisiti per usi malevoli), o lanciare attacchi Denial of Service (DoS). Tra di diversi tipi di spoofing, il più comune è l'IP spoofing.

Cos'è l'IP spoofing?

Con IP spoofing, o spoofing dell'indirizzo IP, ci si riferisce alla creazione di pacchetti con un falso indirizzo IP sorgente al fine di spacciarsi per un determinato sistema informatico. L'IP spoofing consente ai cybercriminali di svolgere azioni dannose senza essere rilevati. Queste vanno dal furto dei dati, all'infezione del dispositivo con un malware, a un crash del server.

Come funziona l'IP spoofing

Iniziamo dalle basi: i dati trasmessi attraverso Internet vengono suddivisi in tanti pacchetti, spediti singolarmente e riassemblati in seguito. Ogni pacchetto ha un'intestazione IP (Internet Protocol), che contiene le informazioni che lo riguardano, tra cui l'indirizzo IP di origine e quello di destinazione.

Nell'IP spoofing, attraverso alcuni strumenti l'hacker modifica l'indirizzo di partenza nell'intestazione IP del pacchetto per fare in modo che il sistema informatico di destinazione lo accetti, credendo provenga da una fonte affidabile, come un altro computer su una rete legittima. Poichè questo avviene a livello di rete, non ci sono segnali di manomissione esterna.

Nei sistemi che si basano su rapporti di fiducia tra computer in rete, l'IP spoofing può essere utilizzato per bypassare l'autenticazione dell'indirizzo IP. Questo concetto viene spesso definito difesa da "castello e fossato", cioè basata su una logica che considera come minaccia ciò che proviene da fuori la rete e affidabile tutto ciò che si trova dentro "il castello". Una volta che l'hacker viola la rete e la penetra, è un gioco da ragazzi per lui esplorare il sistema. A causa di questo genere di vulnerabilità, l'uso di metodi di autenticazione semplice come strategia di difesa è stato rimpiazzato da approcci di sicurezza più efficaci, come l'autenticazione a più fasi.

Anche se spesso l'IP spoofing è utilizzato dai cybercriminali per compiere frodi on-line, furti di identità, shut down di server o siti web aziendali, ne esistono anche usi legittimi. Per esempio le organizzazioni possono servirsi dell'IP spoofing per testare un sito web prima di lanciarlo. Questo implica la creazione di migliaia di utenti virtuali per testare il sito e verificare che sia in grado di sostenere una grande quantità di accessi senza rischiare il sovraccarico. Se usato in questo modo, l'IP spoofing è perfettamente legale.

Tipi di IP spoofing

Le tre forme più comuni di attacchi IP spoofing sono:

Gli attacchi DDoS (Distributed Denial of Service)

In un attacco DDoS, gli hacker usano indirizzi IP falsi per sovraccaricare un server informatico con pacchetti di dati. Questo gli permette di rallentare o bloccare un sito web o una rete con un elevato volume di traffico Internet mantenendo occulta la propria identità.

Il mascheramento dei dispositivi della botnet

L'Ip spoofing può essere usato per ottenere accesso a determinati computer mascherando delle botnet. Una botnet è una rete di computer che gli hacker controllano da un'unica entità. Ogni computer esegue uno specifico bot che compie attività dannose per conto dell'aggressore. L'IP spoofing consente all'aggressore di mascherare la botnet perchè ogni singolo bot nella rete ha un indirizzo IP falso e questo rendendo molto complicato individuare il malintenzionato. Questo può prolungare la durata dell'attacco e massimizzarne la resa.

Gli attacchi Man-in-the-Middle

Un altro pericoloso metodo di IP spoofing usa l'attacco "man-in-the-middle" per interrompere la comunicazione tra due computer, alterare i pacchetti e trasmetterli senza che il mittente o il destinatario originale ne sia a conoscenza. Falsificando un indirizzo IP e ottenendo così l'accesso a un account personale, gli aggressori riescono tenere traccia di ogni elemento di quella comunicazione. Da lì in poi possono rubare informazioni, indirizzare gli utenti su siti web falsi e fare molto altro. Col tempo gli hacker riescono a raccogliere un patrimonio di informazioni confidenziali da usare o rivendere e questo rende gli attacchi man-in-the-middle potenzialmente molto più remunerativi di tutti gli altri.

Esempi di IP spoofing

L'esempio di IP spoofing che viene citato con maggior frequenza è l'attacco DDoS a GitHub nel 2018. GitHub è una piattaforma di hosting di codici. A febbraio del 2018 è stata colpita da quello che viene ritenuto il più grande attacco DDoS di sempre. Gli aggressori hanno falsificato l'indirizzo IP di GitHub in un attacco coordinato così ampio da aver bloccato il servizio per quasi 20 minuti. GitHub ha ripreso il controllo dirottando il traffico verso un partner intermediario e grazie a una pulizia dei dati volta a bloccare i malintenzionati.

Un caso più recente è avvenuto nel 2015 quando Europol ha represso un attacco man-in-the-middle su scala mondiale. L'attacco consisteva nell'intercettazione da parte degli hacker di richieste di pagamento tra aziende e clienti. I criminali hanno usato l'IP spoofing per ottenere l'accesso fraudolento ad account e-mail aziendali. Hanno poi spiato le comunicazioni e intercettato le richieste di pagamento ai clienti, facendo in modo che i soldi venissero inviati a conti bancari controllati da loro.

L'IP spoofing non è l'unica forma di network spoofing. Ce ne sono anche altri come lo spoofing di e-mail, siti web, ARP, messaggi di testo e così via. La guida completa di Kaspersky ai diversi tipi di spoofing è disponibile qui.

Come individuare l'IP spoofing

Non è facile per l'utente finale individuare l'IP spoofing, ed è proprio questo a renderlo così pericoloso. Il motivo è che gli attacchi di IP spoofing vengono condotti a livello di rete, per esempio il livello 3 del modello di comunicazione OSI (Open Systems Interconnection). In questo modo non si rilevano tracce di manomissione esterna. All'apparenza le richieste di connessione spoofing sembrano del tutto legittime.

In ogni caso le organizzazioni possono usare strumenti di monitoraggio della rete per analizzarne traffico ed endpoint. Il metodo più comune per farlo consiste nel filtraggio dei pacchetti. I sistemi di filtraggio dei pacchetti, spesso contenuti nei router o nei firewall, individuano incongruenze tra l'indirizzo IP del pacchetto e gli indirizzi IP desiderati contenuti nella lista di controllo degli accessi (ACL). I sistemi di filtraggio individuano anche i pacchetti fraudolenti.

I due principali tipi di filtraggio dei pacchetti sono il filtraggio in entrata e quello in uscita:

• Il filtraggio in entrata controlla i pacchetti in arrivo per appurare che l'intestazione IP di origine sia quello di una sorgente consentita. Qualsiasi pacchetto sembri sospetto verrà respinto.
• Il filtraggio in uscita controlla i pacchetti in partenza per verificare la presenza di indirizzi IP sorgente che non coincidono con la rete dell'organizzazione. È concepito per prevenire che un infiltrato lanci un attacco di IP spoofing.

Come proteggersi dall'IP spoofing

Gli attacchi di IP spoofing sono concepiti per nascondere la vera identità degli aggressori, rendendone complicata l'individuazione. È comunque possibile compiere alcuni passi per minimizzare i rischi. Gli utenti finali non possono evitare l'IP spoofing, fare tutto il possibile in questa direzione è compito dei team che si occupano dei server.

Protezione dall'IP spoofing per gli specialisti IT:

La maggior parte delle strategie usate per evitare l'IP spoofing deve essere sviluppato e impiegato dagli specialisti IT. Ecco alcune delle opzioni per proteggersi dall'IP spoofing:

• Monitorare le reti per rinvenire attività anomale.
• Impiegare il filtraggio dei pacchetti per rintracciare incongruenze, come pacchetti in uscita con indirizzi IP di origine che non corrispondono a quelli della rete aziendale.
• Impiegare metodi di verifica forti, anche tra i computer in rete.
• Richiedere l'autenticazione di tutti gli indirizzi IP e usare un blocker per gli attacchi alla rete.
• Allocare almeno una parte delle risorse informatiche dietro un firewall. Un firewall vi aiuterà a proteggere le vostre reti verificando il traffico, filtrando gli indirizzi IP falsi, e bloccando l'accesso a esterni non autorizzati.

Gli web designer dovrebbero migrare i siti web all'IPv6, il protocollo Internet più recente. Questo rende più difficile l'IP spoofing poichè comprende diverse fasi di crittografia e di autenticazione. Gran parte del traffico Internet mondiale utilizza ancora i protocolli precedenti, gli IPv4.

La protezione dall'IP spoofing per gli utenti finali:

L'utente finale non può evitare l'IP spoofing. Detto questo, mettere in atto strategie di igiene informatica di base aiuterà a massimizzare la sicurezza on-line. Ecco alcune opportune precauzioni da prendere:

Assicuratevi di impostare in maniera sicura la vostra rete domestica

Ciò significa cambiare username e password preimpostati sia per il router e sia per tutti i dispositivi connessi e preferire sempre password complesse. Una password complessa evita le ovvietà e contiene almeno 12 caratteri in un mix di maiuscole, minuscole, lettere, numeri e simboli. La guida completa di Kaspersky alla configurazione di una rete domestica sicura è disponibile qui.

Fate attenzione quando usate una rete Wi-Fi pubblica

Evitate di effettuare transazioni come shopping o attività di home banking su reti Wi-Fi pubbliche non protette. Se non potete fare a meno di usare hotspot pubblici, aumentate il livello di sicurezza usando una rete virtuale privata o VPN (Virtual Private Network). Una VPN cripta la vostra connessione Internet e protegge così i dati personali che inviate e ricevete.

Assicuratevi che i siti web che visitate siano HTTPS

A volte i siti web non criptano i dati. I siti web che non dispongono di un certificato SSL aggiornato, sono molto più esposti agli attacchi. I siti web con una URL che inizia per HTTP e non per HTTPS non sono protetti ed è quindi rischioso per gli utenti condividere con loro informazioni sensibili. Assicuratevi di usare siti web HTTPS e cercate l'icona del lucchetto nella barra indirizzi.

State all'erta sui tentativi di phishing

Diffidate dalle e-mail di phishing che chiedono di aggiornare la password, le altre credenziali d'accesso o i dati della carta di pagamento. Le e-mail di phishing sono concepite per sembrare provenienti da organizzazioni rispettabili, ma sono, in realtà, spedite da truffatori. Evitate di cliccare sui link o aprire gli allegati nelle e-mail di phishing.

Usate un anti-virus affidabile

Il modo migliore per stare al sicuro on-line è usare un antivirus di qualità che vi protegga da hacker, virus, malware e da tutte le più recenti minacce. È fondamentale anche tenere aggiornato il vostro software e assicurarvi che abbia tutte le ultime funzionalità di sicurezza.

Prodotti consigliati

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Articoli successivi

• Come nascondere l'indirizzo IP
• Che cos'è lo spoofing DNS come si previene
• Cos'è lo spoofing dei numeri di telefono
• Cos'è la privacy dei dati?