Spiare le conversazioni MSN in una rete locale

In questo articolo-guida descriverò in semplici passi illustrati come spiare le conversazioni MSN degli altri all’interno di una rete locale. Tutto ciò che serve è il famoso programma gratuito di sniffing multipiattaforma Wireshark. Questo programma è molto potente e non serve solo a questo naturalmente, però qui verrà descritto come utilizzarlo solo per questo scopo che ci serve.

Innanzittutto se si utilizza come S.O. Windows occorre prima installare delle librerie di cattura necessare a Wireshark, il pacchetto è chiamato WinPCap (anche questo gratuito).

Una volta installati, possiamo aprire Wireshark e vedere come si presenta (foto1).
Occorre quindi impostare l’interfaccia di rete di cattura ed avviare la cattura dei pacchetti di rete in tempo reale. Ciò si fa dal menu Capture (foto2).

Da qui passiamo alla voce Interfaces… (foto3) dove possiamo vedere tutte le interfaccie elencate e premere su Start nell’interfaccia che è attiva per iniziare la cattura.

Altresi si può anche andare su Options… e fare la stessa cosa ma ci sono più opzioni avanzate (che comunque non ho toccato in questa prova) (foto4).

Una volta iniziata la cattura il programma comincerà a scrollare tutto il traffico/pacchetti di rete (foto5); quando vogliamo terminare dobbiamo premere il pulsante con l’icona con il bollino rosso e croce bianca (foto9).

Ovviamente la quantità dei dati risulta molto grande, quindi possiamo applicare un filtro chiamato msnms per visualizzare solo il traffico generato da MSN Messenger. (foto6). Per ulteriori informazioni a riguardo rimando al Wiki.

Ciò che ci interessa ovviamente è il campo Info preceduto da una sigla di 3 cifre che sta ad indicare che tipo di pacchetto si tratta. I principali sono:

JOI: Un client remoto sta cercando di aprire una conversazione
MSG: Una comunicazione, come ad esempio l’invio dell’header o un vero e proprio messaggio
USR: Segnala che una connessione è avvenuta con successo
CAL: Invita un utente ad una conversazione
BYE: Segnala che un contatto ha lasciato la conversazione

Per una lista più completa rimando al Wiki non ufficiale del protocollo MSN.

Ciò che interessa a noi è la stringa dove è presente MSG e scorrendo la finestra sotto possiamo vedere il messaggio, inoltre come potete notare vengono catturati anche gli indirizzi dei contatti MSN in modo chiaro! (per privacy nell’immagine di esempio li ho oscurati). (foto7).

L’articolo-guida potrebbe finire qui ma possiamo impostare un’ulteriore filtro per avere come “target” un determinato computer. Innanzitutto si deve conoscere necessariamente l’indirizzo IP o l’indirizzo MAC del computer di cui vogliamo “sniffare” il traffico MSN. Per far ciò possiamo partire dal nome del computer dell’obiettivo che supponiamo si chiami PCPIPPO. In Windows apriamo una console DOS (Start -> esegui… -> digitiamo “cmd”) e scriviamo il seguente comando:

ping PCPIPPO

così troverete l’IP che in quel momento è assegnato a PCPIPPO.

Ora basta andare in Wireshark ed impostare come filtro msnms || ip.addr == 10.20.1.56 (supponendo che l’indirizzo IP di PCPIPPO trovato tramite il comando Ping sia 10.20.1.56). Dopo aver messo il filtro possiamo iniziare la cattura nel modo spiegato precedentemente. (foto8).

Se si ha il problema che l’indirizzo IP del pc target cambia ogni volta ad ogni collegamento (impostato quindi in DHCP), invece di mettere come filtro in Wireshark l’indirizzo IP possiamo mettere l’indirizzo MAC che fisicamente dovrebbe rimane sempre quello. Per far ciò bisogna digitare un’ulteriore comando nella console dos dopo il comando Ping, ovvero:

arp -a

nella tabella che verrà visualizzata dobbiamo segnare l’indirizzo fisico nel formato ff-ff-ff-ff-ff-ff corrispondente all’indirizzo IP trovato precedentemente.

Quindi il filtro da impostare in Wireshark sarà: msnms || eth.addr == ff:ff:ff:ff:ff:ff (dove ovviamente al posto di ff:ff:ff:ff:ff:ff andrà messo il mac address del client target trovato)

L’articolo-guida stavolta veramente finisce qui

P.S.: Se all’avvio di Wireshark ottenete un messaggio di errore del tipo “The NPF driver isn’t running…” significa che non è stato caricato il relativo servizio in Windows oppure che è stato caricato male. Nel primo caso per caricarlo da consolo dos digitate il comando: net start npf
Se invece si vuole caricare il driver automaticamente ad ogni avvio di Windows si dovrà digitare il comando sc config npf start= auto
Nel secondo caso sempre da console dos bisogna prima interrompere il servizio tramite il comando net stop npf e poi riavviarlo con net start npf

NON funziona su tutte le reti LAN, a riguardo troverete tutte le spiegazioni approfondite nel bell’articolo di Web-experiments.org
Aggiungo una nota del lettore Giuseppe che mi ha scritto: Tutti i router moderni sono basati su switch per cui questo metodo di sniffing non è più utilizzabile da anni ormai, anche se ci sono “nuovi” tipi di attacchi che consentono lo sniffing anche su switch di rete (arp poisoning ad esempio). Discorso diverso se sei su una wireless lan, in questo caso i pacchetti viaggiando via etere possono essere intercettati da tutti.

Alternative software:
Microsoft Network Monitor (gratuito dalla Microsoft, per architetture x86, x64 e ia64)

Un programma simile ma commerciale NetResident, può catturare diversi protocolli quali Messaging, Web, News, FTP, Mail e VOIP

Infine per chi volesse criptare le proprie conversazioni si può ricorrere all’uso del programma gratuito SimpLite oppure del noto client IM Pidgin + plugin per la criptazione

Related posts:

1. Controllo remoto di un pc nella rete locale
2. Essere 100% anonimi in rete
3. Wireless fun con Linux