I SEGRETI DELL’INDIRIZZO IP

Conoscendo l’indirizzo IP si può risalire a: Nome, cognome, ragione sociale, posizione geografica, numero di telefono…
Scopriamo come ottenere una miriade di informazioni da qui numeri che identificano univocamente la nostra connessione in
Rete.

All’udire l’espressione “indirizzo IP”, gli internauti si dividono in almeno tre categorie: quelli che credono si stia parlando di fare
rifornimento di carburante…, quelli che sanno che è un particolare numero che ci viene assegnato ogni qual volta ci connettiamo in rete,
quelli che pensano sia la chiave di accesso segreta ad ogni sorta di informazioni che riguardano l’utente che ne è il referente, quelli che
credono sia la “condicio sine qua non” delle malizie informatiche degli hacker. Chi ha ragione? Tutti e nessuno ma di certo…non i primi!

L’indirizzo IP tra bugie e verità

Ci sono circa 4 miliardi di numeretti pronti ad identificarci univocamente quando ci
connettiamo in rete. Essi sono compresi nel range che va da 1.1.1.1 a 254.254.254.254 ed
ognuno dei gruppi separati dal punto può variare da 0 a 254. E’ semplice conoscere il
nostro indirizzo IP: in un sistema Windows sarà sufficiente cliccare su Start/Esegui e
digitare nell’apposita riga di testo Winipcfg.exe (in Windows 2000 digitare ipconfig dal
Figura 1 - Conoscere il proprio prompt dei comandi). Come mostrato in Figura 1, otterremo una sequenza di numeri del
indirizzo IP. tipo. 192.22.45.29. Da questo momento per il mondo delle 3W noi saremo soltanto un
arido numero. Arido? Forse no… a giudicare da quante informazioni simpatiche si possono
ottenere da questa infilata di 4 semplici byte.

Subito all’opera: risaliamo all’identità

Conoscere l’indirizzo IP di qualcuno ci consente spesso, per non dire sempre, di risalire all’identità fisica dell’utente connesso o,
quantomeno, di individuarne con precisione la posizione geografica. Vi sono molti modi per ottenere l’IP: analizzare gli header di
qualsiasi e-mail, trovarli in bella mostra in una qualsivoglia sessione di chat (ICQ, MIRC etc.), nei vari client di connessione remota
(Netmeeting ad esempio) e perfino quali intestazioni di SMS qualora riceviamo messaggi via Web. Supponiamo di averne uno: come
risaliamo all’identità di chi ne è il possessore?
Vi sono diversi modi. L’uso di un portscanner è tra i più diffusi. Basterà digitare nell’apposita riga di esecuzione comandi di uno di essi
(uno tra i più efficienti del quale è possibile effettuare il download in rete è il Superscan v. 3.0,
www.foundstone.com/knowledge/scanning.html) il nostro numerino magico, spuntare l’opzione Resolve hostname ed ottenere in
risposta un messaggio del tipo nomeutente.azienda.it, come mostrato in Figura 2.

In questo caso siamo stati fortunati, infatti il nomeutente e quello dell’eventuale azienda
non è detto che compaiano sempre: dipende dal momento nel quale abbiamo installato il
sistema operativo. Chi di noi lo ha fatto ricorderà l’ingenua domandina che ad un cero
punto un sistema operativo, ad esempio Windows, ci pone durante l’installazione;
qualcosa del tipo: “inserire un nome utente” oppure “desideri un identificativo di sistema?”.
Sono proprio questi i dati che un portscanner restituisce quando effettuiamo la query di un
IP sotto indagine. Se non ne abbiamo una seria necessità, non inseriamo mai queste
informazioni o, quantomeno, usiamo un nick di sistema e non il nostro nome e cognome! I
ficcanaso digitali avranno così qualche difficoltà in più…Anche nei casi meno fortunati il
portscanning è utile, se non altro per la localizzazione geografica: nessun software di
questo tipo è cosi pitocco da non fornirci almeno la sigla della provincia relativa al pop di
connessione dell’IP indagato
Figura 2 - Un esempio di portscanning.

Una soluzione bella e professionale: il VisualRoute

Esistono software professionali che, a partire da un indirizzo IP, non solo risalgono all’identità collegata a
quest’ultimo, ma riescono a tracciare una mappa di informazioni cosi precisa e dettagliata da essere
adoperati anche per le più complesse operazioni di polizia informatica. Uno tra i più belli e validi è il
VisualRoute, del quale è possibile scaricare la versione trial dal sito ufficiale: www.visualware.com/
download/index.html (vedi Figura 3).

Nella riga Address di questo software inseriamo l’indirizzo IP per il quale

Figura 3 - Un software professionale: il
VisualRoute.
vogliamo condurre l’indagine, per esempio 62.110.170.238. Ci basterà
battere invio per accorgerci che… c’è un mondo attorno all’indirizzo IP!
Nel nostro caso possiamo notare un report dettagliato dal quale è
possibile ottenere una miriade di informazioni relative a tutto il percorso
che conduce, attraverso numerosi nodi, il localhost al computer in
questione che, nel nostro caso, è a titolo di esempio il sito di Trenitalia.
E’ interessante la possibilità di compiere l’operazione inversa; non è
detto infatti che noi conosciamo l’indirizzo IP di un sito aziendale o del
computer di un utente. Nessun problema: con VisualRoute basterà
digitare il nome del sito ed ottenere il suo IP e tutte le informazioni che
ruotano attorno a questo numeretto magico.
 Analizzando il report di Figura 4 possiamo apprezzare le qualità di
questo entusiasmante trace software. Notiamo che sono stati necessari
ben otto passaggi attraverso altrettanti hop prima che il localhost abbia
raggiunto la destinazione; per ogni nodo di transito ci viene fornito
l’indirizzo IP, il nome del nodo, la posizione geografica, il round tripe time
di attesa sul singolo hop con tanto di grafico e la descrizione dettagliata
della rete della quale l’IP sotto indagine è il referente. Scusate se è
poco...! Abbiamo inoltre un’analisi circostanziata del traffico di tutti i
pacchetti IP con l’informazione di quelli persi durante il viaggio e del
Figura 3 - Un software professionale: il
VisualRoute.
punto preciso nel quale è avvenuto lo smarrimento digitale. Una vera
chicca è poi il grafico del planisfero sul quale vengono tracciati tutti i salti
di IP che portano dal localhost al sito finale.
Who is? Dimmi l’IP e ti dirò chi sei!
Le meraviglie del nostro Internet mapping non finiscono qui. Se proviamo a cliccare sul nome di ogni nodo
del report, otterremo per quest’ultimo un’abbondanza di dati e informazioni che ci consentirà ben presto di
individuare univocamente e con dovizia di particolari il nome del dominio, la data di creazione, l’ultima
modifica effettuata, la città nella quale è registrato il sito, il numero di telefono del site administrator, domicilio
legale dell’azienda alla quale si riferisce l’IP, nome, cognome ed email di tutti i più importanti gestori e
responsabili, indirizzo e nome del server portal …e chi più ne ha più ne metta.
Ancora, cliccando sulla colonna Rete, accederemo ad un whois di network tra le cui informazioni è
interessante la inetnum, mediante la quale individueremo tutto e solo il range di IP assegnato al sito
dell’azienda per la quale stiamo risolvendo l’l’adress. Niente male se pensiamo che siamo partiti solo da un
semplice numeretto…
Le informazioni di whois, per chi decidesse di non voler utilizzare VisualRoute, possono essere reperite in
diversi altri modi, per esempio usando le sezioni dedicate di www.register.com ed in particolare, per i siti con
estensione .it, l’analogo www.register.it.

Perché l’IP piace tanto agli Hacker?

Nessun ladro potrebbe rubare a casa nostra se non conoscesse esattamente dove abitiamo, il nostro
indirizzo cioè. Similmente, chi vuole spiare o rubare nel nostro PC deve avere l’indirizzo per bussare ad una
delle sue porte, l’IP appunto. Navigando in Rete senza le dovute protezioni può capitare di imbattersi in uno
di quei cavalli sleali (Subseven, Netbus, Back Orifice e mille altri) che si installano in maniera subdola nel
nostro computer, i famosi trojan o cavalli di Troia. Effettuando uno scanning del nostro IP, mediante
un’opportuna lista che associ ad ogni trojan la corrispondente porta di default, i criminali informatici possono
sapere immediatamente se e da quale particolare trojan server siamo stati infettati e, usando il relativo client,
possono collegarsi facilmente al nostro PC ottenendo quello si chiama un accesso root, cioè potendo
compiere in pratica tutte le operazioni e disporre di tutti i privilegi che dovrebbero appartenere solo a noi.
Mediante il portscanning analizzato, cliccando nella finestra Configuration su Port List Setup, accediamo alla
sezione di Edit Port List; dalla riga Port List File selezioniamo, tra le molte possibili, la lista trojan.lst: saremo
sorpresi da quanti e quali trojan insidiano ogni giorno la nostra Sicurezza digitale.

La strategia dell’IP spoofing

Qualora il nostro IP address finisca in mani sbagliate, allora saremmo esposti a tutta una serie di possibili
attacchi che, per essere perpetrati, necessitano della sola conoscenza del nostro numeretto di connessione.
L’IP Spoofing è una delle tipologie possibili. In Internet una connessione con protocollo TCP tra due utenti,
chiamiamoli Alice e Bob per usare nick molto cari agli esperti di Sicurezza, è possibile grazie
all’assegnamento di un numero di sequenza (Sequence Number) ad ogni byte trasmesso da Alice e di un
numero di avvenuta ricezione (Acknowledgment Number) per la richiesta di conferma dei dati ricevuti da
Bob. Questi due numeri sono fondamentali per Eva, il terzo incomodo che vuole falsificare il proprio indirizzo
IP per intercettare così pacchetti destinati a Bob fingendo, agli occhi di quest’ultimo, di essere Alice.
Supponiamo che Eva faccia parte di una sottorete, la stessa della quale fanno parte Bob ed Alice.
Solitamente, i vari host che appartengono ad essa sono collegati da apparecchi (HUB) che, per far giungere
un pacchetto ad un determinato host, lo trasmettono contemporaneamente in broadcast a tutti i computer
della sottorete. Il controllo della competenza del pacchetto è fatto solo alla fine della trasmissione, ossia
quando esso arriva ad ognuno degli host di sottorete: solo allora quest’ultimo esamina l’indirizzo di
destinazione contenuto nel pacchetto. Se questo indirizzo coincide con il proprio, il pacchetto viene
processato, altrimenti viene scartato in quanto destinato ad un altro host. Tuttavia, esistono delle particolari
impostazioni delle schede di rete (modalità promiscua) che permettono di processare tutti i pacchetti che
arrivano. E’ così che Eva mette in atto il suo attacco IP Spoofing: ella cerca di farsi passare per Alice, ovvero
per un qualsiasi host appartenente alla sua stessa sottorete. Impostando la sua scheda di rete in modalità
promiscua, ella riuscirà a leggere tutti i pacchetti di ritorno indirizzati all’host che intende impersonare,
riuscendo così a scoprire Sequence Number ed Acknowledgment Number della connessione in corso tra
Alice e Bob, servendosene a proprio piacimento per fingere a Bob di essere Alice. Gli amministratori di rete
ed i Security Engineers stanno ponendo rimedio ad un tale serio inconveniente usando, al posto degli HUB,
dispositivi hardware noti come SWITCH che, invece di trasmettere i pacchetti in broadcast, implementano
condizioni tali da farli giungere solo al destinatario corretto.
Lo Spoofing appena descritto è noto come spoofing “non cieco”, in contrapposizione a quello “cieco”, una
tecnica nella quale Eva cerca di farsi passare per un host qualsiasi di Internet, non appartenente cioè alla
stessa sottorete in cui si trova Bob. In tal caso, però, ella non avrà alcuna possibilità di analizzare i pacchetti
di ritorno inviati da Bob quali conferma di quelli, “spoofati” ad Alice per fingersi tale, da lei stessa spediti a
Bob. Questi ultimi, infatti, saranno indirizzati all’host che ella sta impersonando, cioè Alice; ma poiché Eva si
è fatta passare per un host che non è nella sottorete di Bob, ossia Alice, ella non avrà alcun modo di venire a
conoscenza del Sequence Number ed Acknowledgment Number per continuare la connessione. E’ evidente
dunque, pur esistendo delle tecniche avanzate per perpetrarlo, come lo Spoofing Cieco abbia possibilità di
successo enormemente inferiori di quelle del Non Cieco e che la progettazione di un eventuale attacco
basato su di esso necessiti di competenze specifiche di gran lunga superiori rispetto a quelle necessarie per
perpetrare un attacco di tipo Non Cieco.

Conoscere l’IP: una questione di privacy

Supponiamo di aver ottenuto, ad esempio con il metodo della inetnum, il range di indirizzi IP assegnato ad
una particolare azienda. Si pone così immediatamente una questione di privacy. Se infatti usassimo un
portscanner come quello illustrato nel presente articolo, ci basterà inserire il range in questione e premere
Start per ottenere una lista degli IP che in quel particolare momento sono connessi in rete; se si pensa che le
aziende moderne hanno tutte connessioni continue di tipo flat, si intuisce come questa informazione si
traduca immediatamente nella conoscenza di chi in quel particolare momento ha acceso il proprio PC e cioè
di chi è presente in quel momento in azienda e chi invece no. Con l’opzione resolve hostname individueremo
esattamente di chi si tratta e, in barba alla privacy, sapremo tutto del malcapitato dipendente: se quel giorno
sta lavorando, a che ora ha iniziato, quando finisce e così via…Proprio per questi motivi in Italia è questione
assai dibattuta se sia consentito o non effettuare un sia pur innocuo portscanning. I sostenitori della liceità di
tale operazione affermano che telefonare a casa di qualcuno ed osservare che, non avendo risposto
nessuno, il padrone di casa è uscito, non è stato mai considerato da nessuno una violazione della privacy!

A me sì cara vieni, o sera...

Essere oggetto di un portscanning continuo e reiterato è il segno tangibile che qualcuno è molto interessato
a noi ed alle nostre occupazioni…Ma capita spesso che non ce ne accorgiamo. Le statistiche di questa
attività parlano chiaro: il fenomeno del portscanning è perpetrato prevalentemente nelle ore serali, quando i
malintenzionati, rientrati dal lavoro quotidiano, decidono di investire il proprio tempo libero combinando guai
alla gente… Insomma, il caos è di sera! E pensare che qualcuno ci aveva convinti che l’imago della quiete
era quella che più si addiceva alla sera...