Rilevazione della modalità promiscua con Promiscan

Come abbiamo visto nella prima parte dell’articolo quando una scheda di rete funziona in modalità promiscua passa al sistema operativo ogni pacchetto Ethernet che transiti per il segmento di rete in cui essa è posizionata, senza controllare d’esserne il legittimo destinatario. Una siffatta scheda di rete risulta difficile da rilevare, in quanto si tratta, a conti fatti, di un dispositivo passivo, che non invia alcun pacchetto dati ma li legge solamente.

Al fine del rilevamento, possiamo usare una metodologia che sfrutti il protocollo ARP, tanto caro ai cracker per scopi diametralmente opposti: è possibile generare finte richieste ARP per MAC inesistenti e spedirle ad ogni nodo della LAN stessa; ogni interfaccia di rete che ascolti in modalità promiscua, anziché "veder e lasciar passare" tali richieste, le invierà direttamente al sistema operativo, il quale potrebbe rispondere a tali pacchetti, risposta che, altrimenti, non dovrebbe esservi affatto.

Generiamo in sintesi pacchetti cui una macchina che possedesse schede di rete funzionanti in modo normale non risponderebbe mai. Nel caso quindi in cui si ottenga risposta dalla macchina A a tali richieste ARP fasulle, sulla macchina A sarebbe inserita una scheda di rete funzionante in modalità promiscua e su di essa potrebbe essere in esecuzione uno sniffer.

L’equazione modalità promiscua = sniffer non è di validità generale, dato che taluni software, per poter funzionare, richiedono schede di rete così configurate: ad esito positivo in questa fase dovrebbe far seguito una successiva verifica sulla/e macchina/e incriminata/e. Come si dice, tecniche simili danno spesso luogo a falsi positivi.

Si noti infine che la tecnica risulta particolarmente dipendente dal comportamento del sistema operativo ed il software di rilevamento di cui farò cenno, Promiscan, ne è ben conscio ed è stato programmato appunto per "ingannare" il sistema operativo (Windows e Linux), conoscendone i comportamenti più intimi.

Promiscan

PromiScan è un software per sistemi operativi Windows, di utilizzo estremamente semplice, che permette di rilevare con sufficiente certezza le schede di rete di funzionanti in modalità promiscua nella LAN analizzata.

Promiscan 0.29 è scaricabile gratuitamente dal sito www.securityfriday.com, mentre Promiscan 0.30 è la versione commerciale e prevede il monitoraggio continuo della rete ed il reporting in tempo reale mediante avvisi all’amministratore – senza i quali diviene inutile per scopi professionali.

L’installazione richiede WinPcap, che rappresenta lo strumento software per antonomasia per l’accesso al livello data-link dello stack TCP-IP da parte delle applicazioni Windows: permette alle applicazioni di catturare e trasmettere pacchetti di rete bypassando lo stack messo a disposizione dal sistema operativo.

È sufficiente selezionare l’interfaccia di rete (device) che il programma utilizzerà ed un indirizzo IP-MAC non utilizzato con esso cui verrà identificato durante la scansione. In figura riporto una scansione ottenuta utilizzando tale software.

Figura 1: Scansione con Promoscan

In realtà, nella LAN di esempio nessuna macchina sta sniffando, ma alcune posseggono schede di rete poste in modo promiscuo (in esse gira VMWare in modalità bridge). L’IP 192.168.0.254 rappresenta invece il modem/router/firewall/access point.