Levysoft

Debookee: il più semplice analizzatore di traffico di dispositivi mobili per Mac OS X

Uno sniffer è un dispositivo che permette di catturare il traffico di una rete e quindi le informazioni ivi presenti. Questo perchè si sfrutta il funzionamento di una rete dove tutti i pacchetti vengono inviati a tutti i terminali di rete, ma solo quello a cui sono destinati non li ignora e li legge. Quindi su una qualsiasi interfaccia di rete è teoricamente possibile ascoltare il traffico passante verso qualsiasi dispositivo presente sulla stessa rete.
Se lo sniffer è spesso usato da amministratori di rete per studiare e analizzare il traffico e diagnosticare eventuali problemi, è anche vero che lo sniffer può servire anche ad una persona malintenzionata che abbia un accesso fisico alla rete (fisica o wireless) per raccogliere delle informazioni. Questo ultimo caso è amplificato dal fatto che è possibile analizzare anche reti wireless che si possono estendere con facilità oltre le mure di casa o del proprio ufficio. Inoltre, dato che molti protocolli usati su internet fanno transitare le informazioni in chiaro, cioè in maniera non cifrata, è facile capire come sia facile intercettare informazioni sensibili come username e password.

Quello che mi sono sempre chiesto è che tipo di informazioni transitano nella mia rete wireless di casa quando uso le app del mio smartphone o dal mio tablet. Il problema, infatti, è che esistono protocolli come https per cifrare tutte le comunicazioni e renderle inintelligibili ad un eventuale attaccante esterno, ma a volte capita che qualche app dei nostri dispositivi mobili, non le usano e lasciano transitare in chiaro anche informazioni il cui contenuto possiedono un livello di confidenzialità elevato.

Ecco perché è bene sapere cosa circola nella propria rete ma spesso il primo scoglio che un utente con poca esperienza deve affrontare è la complessità dei programmi di sniffer. Questa difficoltà, però, può essere abbattuta se usiamo un software disponibile solo per Mac OS X: Debookee. Già dal disclaimer viene evidenziato che si tratta del più semplice e potente analizzatore di rete per Mac OS X e, dopo averlo provato per molti giorni, devo dire che le promesse sono state ampiamente mantenute.

Debookee con le relative licenze si divide in due moduli: Network Analysis Module (NA) e WiFi Monitoring Module (WM)

Network Analysis Module (NA)

La parte che personalmente ho apprezzato di più è quella relativa al modulo di Network Analysis.

Una volta caricata l’interfaccia principale questa è la schemata che viene mostrata:

Come si può vedere, nella sezione centrale, vengono elencate le interfacce di rete (nella maggior parte dei casi sarà sempre la sola en0) e l’ip address / mac address del proprio computer. Nella sidebar, invece, è presente un menu virtualmente separato in due sezioni, una relativa ad ogni modulo: #Network Analysis e #Wi-Fi Monitoring.

Cliccando sul tasto verde “Lan Scan” presente nella toolbar in pochi secondi verrano rilevati tutti i dispositivi presenti nella rete (nel mio caso Wifi) e verranno elencati con tanto di indirizzo ip, mac address, ruolo svolto e vendor (per una più facile identificazione del terminale mobile in mancanza dell’hostname). Come è possibile vedere viene rilevato il modem (con ip 192.168.1.1) con ruolo di Gateway e diversi dispositivi, evidentemente mobili come smartphone o tablet, con vendor Sony e Apple.
Nei miei test ho voluto tenere sotto controllo il traffico generato dal mio iPhone, per cui, in questo caso, è stato facile identificarlo (se aveste qualche dubbio basterà controllare direttamente sul dispositivo l’indirizzo ip assegnato, ovviamente dovrete sempre essere agganciati alla stessa rete Wi-Fi).
Uno dei grandi pregi di Debookee è che è possibile monitorare un solo dispositivo su tutti quelli presenti nella rete Wi-Fi e questo è veramente un grande vantaggio perché si riduce il rumore di fondo dei centinaia di pacchetti che transitano ogni istante.
Per monitorare un solo dispositivo, quindi, sarà sufficiente selezionare la riga corrispondente e cliccare sul tasto “Toggle Target” della toolbar (o fare doppio click col mouse sulla cella relativa al “Role”) e verrà assegnato il ruolo “Target” (Tgt).

Ora che abbiamo assegnato il nostro target possiamo far partire la cattura dei pacchetti di quel dispositivo cliccando sul tasto verde della toolbar “Start NA” (che per evidenziare fase di cattura diventerà rosso) mentre nella sidebar diventeranno in grassetto, mano a mano che arriveranno dati, le voci HTTP, DNS e Other TCP sotto l’indirizzo ip del proprio target (se invece guardate sotto “Own Traffic” vedrete il traffico generato dal vostro computer).
Cliccando su HTTP, quindi, potremo vedere i pacchetti catturati. Se le app funzionano con si deve dovrebbero transitare solo pacchetti cifrati (il software lo evidenzia con la frase “Can’t decrypt TLS yet“)

Come potete constatare, infatti, le app come Netflix, Paypal e anche Eni Gas e Luce (almeno nella fase di autenticazione) usano comunicazioni criptate. Interessante vedere come nel caso di Netflix, possiamo trovare la url completa delle immagine che risultano così visibili anche fuori dalla app (per esempio: http://art-1.nflximg.net/f9fd5/f35f9bd2c3a9f29fdf60541efa16ac17243f9fd5.jpg).
Personalmente trovo molto interessante analizzare come si comportano le app quando le apri e su quali siti si collegano: per esempio molte si collegano su https://graph.facebook.com/ se hanno una autenticazione Facebook, mentre altre si collegano su https://crashlytics.com/ per avere soluzioni di crash reporting dell’app. Insomma le potenzialità di analisi sono letteralmente infinite.

Nella sezione “DNS“, invece, vengono mostrati con il timestamp la lista dei domini dns risolti con il loro indirizzo ip:

Mentre in “Other TCP” è possibile rilevare altri protocolli che non siano HTTP (come, per esempio, IMAP per la posta elettronica):

WiFi Monitoring Module (WM)

Un altro aspetto davvero interessante di questa app è il modulo di Monitoring del Wi-Fi.

Infatti, con Debookee è possibile analizzare lo stato della propria rete Wi-Fi e quelli dei canali disponibili (Max Rate, Tx Rate, SNR, Data Rate, Bytes inviati ed errori FCS)

Inoltre, premendo sul tasto “Start WM” è possibile scansionare tutte le reti Wi-Fi in zona e vedere quali dispositivi sono connessi a ciascuna rete.

Se lo provate noterete che i software è di una semplicità davvero disarmante: se cliccate su un dispositivo rilevato vi verrà evidenziata la rete wireless a cui è agganciato, mentre se cliccate sulla riga della rete Wi-Fi vi verranno evidenziati tutti i dispositivi collegati.

Licenze

Debookee è un programma che offre una trial gratuita ma limitata nelle visualizzazioni in real time dei pacchetti del modulo di Network Analysis, mentre non è disponibile quello di WiFi Monitoring. Data la natura della applicativo, che non può funzionare in una sandbox e quindi non può rispettare le politiche restrittive di Apple, non è presente nell’App Store per cui è necessario scaricarlo e comprare le licenze direttamente dal sito del produttore.
La sola licenza “NA Module” costa 29,90$, quella sola “WM Module” costa 49,90$ mentre la Combo (NA+WM) costa 69,90$.