Sniffare la rete e intercettare traffico internet e password

Guida per sniffare i pacchetti di rete e spiare siti visitati, ricerche su internet e password, da altri computer

Benvenuti in questo articolo teorico dedicato a un tema affascinante ma delicato della sicurezza informatica: lo "sniffing" di rete, ovvero l'intercettazione del traffico internet e, potenzialmente, di dati sensibili come le password. Questo post è pensato per scopi educativi, per aiutare a comprendere come funzionano queste tecniche e perché la sicurezza delle reti è così importante. Non forniremo istruzioni pratiche né incoraggeremo attività illegali: l'obiettivo è imparare per proteggere meglio noi stessi e i nostri sistemi.

Se i computer sono nella stessa rete, wifi o via cavo, essi escono su internet (quindi si connettono per navigare il web) tramite lo stesso router che li connette tra loro. Windows, come anche gli altri sistemi operativi, protegge il computer dalle intrusioni e si può anche utilizzare un firewall per evitare qualsiasi tipo di intrusione dentro il pc.
Il problema è che, la maggior parte del traffico di rete, i siti navigati, le ricerche su Google, i dati inviati via internet come le mail, le password ed i messaggi in altri siti possono essere, teoricamente, intercettati e letti da un altro computer.

Cos’è lo Sniffing di Rete?

Lo sniffing di rete è il processo di monitoraggio e cattura dei pacchetti di dati che viaggiano attraverso una rete, come una Wi-Fi domestica o una rete aziendale. Questi pacchetti contengono tutte le informazioni scambiate tra dispositivi: email, richieste web, messaggi e, in alcuni casi, credenziali di accesso. In teoria, uno sniffer (un programma o dispositivo apposito) può "ascoltare" questi dati e analizzarli.

Esistono due tipi principali di sniffing:

• Passivo: avviene senza interferire attivamente nella rete, ed è più difficile da rilevare. Funziona bene in reti non protette o hub di vecchia generazione.
• Attivo: richiede un intervento, come l’iniezione di pacchetti o la manipolazione del traffico (ad esempio con un attacco "man-in-the-middle"), ed è più comune in reti moderne con switch.

Come Funziona in Teoria?

Immaginiamo una rete Wi-Fi domestica senza crittografia (o con una protezione debole, come WEP). I dati viaggiano sotto forma di pacchetti, piccoli "blocchi" di informazioni che contengono intestazioni (chi invia, chi riceve) e il payload (il contenuto vero e proprio). Uno sniffer posizionato nella stessa rete può:

1. Catturare i pacchetti: utilizzando una scheda di rete in "modalità promiscua", che permette di leggere tutto il traffico, non solo quello diretto al dispositivo.
2. Analizzare i dati: se i pacchetti non sono crittografati (ad esempio, un sito HTTP invece di HTTPS), il contenuto è leggibile in chiaro, incluse password o messaggi.
3. Ricostruire le informazioni: con strumenti teorici, si possono filtrare i pacchetti per cercare credenziali o altri dati sensibili.

In una rete cablata, invece, lo sniffing è più complesso a causa degli switch, che inviano i pacchetti solo ai dispositivi interessati. Qui entra in gioco un attacco attivo, come l’ARP poisoning, che "inganna" la rete facendo credere che lo sniffer sia il destinatario legittimo del traffico.

Intercettare Password: È Davvero Possibile?

Sì, ma con alcune condizioni. Supponiamo che un utente inserisca username e password su un sito web:

• Se il sito usa HTTP (non sicuro), i dati viaggiano in chiaro e possono essere intercettati facilmente.
• Se usa HTTPS (con crittografia SSL/TLS), i dati sono protetti e appaiono come una sequenza incomprensibile di caratteri, a meno che l’attaccante non riesca a decifrare la connessione (ad esempio, con un certificato falso in un attacco man-in-the-middle).

Anche le app o i servizi non web (come email con protocolli POP3 o IMAP non sicuri) possono essere vulnerabili se non usano crittografia end-to-end.

Strumenti Teorici per lo Sniffing

Nella letteratura sulla sicurezza informatica si citano spesso strumenti come:

• Wireshark: un analizzatore di pacchetti che permette di visualizzare il traffico di rete in dettaglio.
• Cain & Abel: un software (ormai datato) per intercettare e decifrare password in reti locali.
• Tcpdump: un’alternativa da riga di comando per catturare pacchetti.

Questi strumenti sono legittimi se usati per test di sicurezza su reti di cui si ha autorizzazione (ad esempio, la propria rete domestica). L’uso su reti altrui senza consenso è illegale nella maggior parte dei paesi.

NOTA: Su un normale PC si può anche installare Kali Linux che include tutti gli strumenti per test di intrusione.

Prove di Sniffing su Windows con Wireshark

Su un PC Windows puoi fare prove teoriche di sniffing di rete, ma ci sono alcune cose da sapere e considerare. Intanto, si può fare solo su una rete di tua proprietà o su una rete per cui hai autorizzazione esplicita a effettuare test (ad esempio, la tua rete Wi-Fi domestica). Sniffare traffico su reti pubbliche o altrui senza consenso è illegale in molti paesi, inclusa l’Italia, e potrebbe violare leggi sulla privacy o sull’interferenza informatica.

Per fare prove teoriche su Windows, puoi utilizzare strumenti come Wireshark, che è gratuito, open-source e ampiamente usato per analizzare il traffico di rete. È perfetto per imparare come funzionano i pacchetti e il flusso di dati.

Fino a qualche anno fa, WinPcap era essenziale per Wireshark e qualsiasi altro programma di sniffing su Windows. Tuttavia, WinPcap non è più attivamente sviluppato (l’ultima versione stabile risale al 2013). Oggi, Wireshark usa una libreria più moderna chiamata Npcap, che è un'evoluzione di WinPcap.

NOTA: Per intercettare traffico di rete è necessario che il PC abbia una scheda Wi-Fi che supporti la modalità monitor (non tutte lo fanno). Per esempio la scheda di rete con Chipset Realtek RTL8812AU o le schede di rete USB di Alfa network.

Quando installi Wireshark su Windows (scaricabile dal sito ufficiale: wireshark.org), viene chiesto automaticamente di installare Npcap insieme ad esso. Npcap è compatibile con Windows 10 e 11, è più sicuro e supporta funzionalità avanzate.

In un altro articolo, abbiamo scritto Come si usa Wireshark per intercettare il traffico di rete quindi:

• Scarica Wireshark e segui l’installazione guidata in modo da includere Npcap.
• Se hai una vecchia versione di Wireshark con WinPcap, meglio aggiornare tutto per evitare problemi di compatibilità o sicurezza.
• Configura la tua rete:
  Collega il tuo PC alla rete che vuoi analizzare (ad esempio, la tua Wi-Fi domestica). Per vedere il traffico di altri dispositivi, devono essere sulla stessa rete e il tuo PC deve essere in grado di "ascoltare" i pacchetti (più facile su Wi-Fi che su reti cablate con switch).
• Avvia la cattura:
  Apri Wireshark e seleziona l’interfaccia di rete attiva (es. Wi-Fi o Ethernet). Premi "Start" per iniziare a catturare i pacchetti. Vedrai un flusso di dati: indirizzi IP, protocolli (HTTP, HTTPS, TCP, ecc.) e, se non crittografati, i contenuti.
• Filtra i dati:
  Usa i filtri di Wireshark (es. http o ip.addr == 192.168.1.1) per concentrarti su specifici tipi di traffico. Su una rete non protetta, potresti vedere dati in chiaro (es. su siti HTTP).
• Analizza:
  Studia i pacchetti per capire come funzionano protocolli e intestazioni. Ad esempio, cerca richieste HTTP non crittografate per vedere cosa contengono.

Limiti e avvertenze

• Reti moderne: Su una rete Wi-Fi con WPA2/WPA3, non vedrai i dati degli altri dispositivi in chiaro, perché sono crittografati. Vedrai solo il tuo traffico o pacchetti "di controllo" (es. handshake Wi-Fi).
• Switch: In una rete cablata con switch, vedrai solo il traffico diretto al tuo PC, a meno di non simulare un attacco come ARP poisoning (che richiede autorizzazione e conoscenze avanzate).
• Legalità: Usa Wireshark solo su reti che controlli o per cui hai permesso scritto. Anche per scopi istruttivi, intercettare traffico altrui è un reato.

Perché È una Minaccia?

Lo sniffing evidenzia quanto siano vulnerabili le reti non protette. Un attaccante potrebbe:

• Rubare credenziali di accesso a banking online, social media o email.
• Monitorare le attività di un utente, violandone la privacy.
• Raccogliere dati per attacchi successivi, come il phishing mirato.

Le reti Wi-Fi pubbliche, come quelle di bar o aeroporti, sono particolarmente a rischio, soprattutto se non si usa una VPN (Virtual Private Network) per crittografare il traffico.

Come Proteggersi: Consigli Teorici

Ecco alcune strategie per ridurre il rischio di essere "sniffati":

1. Usa HTTPS: verifica che i siti web abbiano il lucchetto verde nella barra degli indirizzi.
2. Crittografia Wi-Fi: configura la tua rete con WPA3 (o almeno WPA2), evitando protocolli obsoleti come WEP.
3. VPN: un tunnel crittografato rende i tuoi dati illeggibili a eventuali sniffers.
4. Aggiornamenti: mantieni software e dispositivi aggiornati per evitare vulnerabilità sfruttabili.
5. Monitoraggio: in una rete aziendale, usa sistemi di rilevamento delle intrusioni (IDS) per identificare attività sospette.

Sniffare una rete e intercettare traffico o password è una possibilità reale, ma richiede condizioni specifiche: reti non protette, protocolli insicuri o errori di configurazione. Capire come funziona è il primo passo per difendersi. La sicurezza informatica non è solo una questione di tecnologia, ma anche di consapevolezza: usa password forti, protocolli moderni e un po’ di buon senso digitale.

Come spiegato in un altro articolo, usando facili strumenti software, è possibile anche entrare in una rete wifi e spiare cosa si fa su internet.
In un altro articolo, altri programmi per attaccare la rete e trovare vulnerabilità intercettando il traffico anche con attacchi Man In The Middle che spiano e cambiano le comunicazioni tra due persone.