Pirni Pro è un’applicazione per iPhone che consente di monitorare in maniera completa tutto ciò che accade sulla propria rete e controllarne la sua sicurezza.
Pirni è infatti uno network sniffer, ed in particolare uno spoofer APR. Questo cosa significa? Semplicemente che l’app può carpire tutte le informazioni di una rete tramite spoof APR.
L’Address Resolution Protocol (ARP) è un protocollo che fornisce la “mappatura” tra l’indirizzo IP a 32bit (4byte) e il suo MAC address, l’indirizzo fisico a 48bit (6 byte), utilizzato in una rete di calcolatori che utilizzi il protocollo di rete IP sopra una rete di livello datalink che supporti il servizio di broadcast.
Per inviare un pacchetto IP ad un calcolatore della stessa sottorete, è necessario incapsularlo in un pacchetto di livello datalink, che dovrà avere come indirizzo destinazione il mac address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo.
Se il pacchetto deve essere inviato ad un calcolatore di un’altra sottorete, ARP viene utilizzato per scoprire il mac address del gateway.
In ogni calcolatore, il protocollo ARP tiene traccia delle risposte ottenute in una apposita cache, per evitare di dovere utilizzare ARP prima di inviare ciascun pacchetto (il che comporterebbe un notevole ritardo nelle comunicazioni nonché una maggiore complessità nella gestione del traffico). Le voci della cache ARP vengono cancellate dopo un certo periodo dall’ultima occorrenza, tipicamente dopo 5 minuti.
Come funziona?
L’host che vuole conoscere il mac address di un altro host, di cui conosce l’indirizzo IP, invia in broadcast una richiesta ARP (pacchetto di ARP-request), generata dal protocollo IP, contenente l’indirizzo IP dell’host di destinazione ed il proprio indirizzo MAC.
Tutti i calcolatori della sottorete ricevono la richiesta. In ciascuno di essi il protocollo ARP verifica se viene richiesto il proprio indirizzo IP. L’host di destinazione che riconoscerà il proprio IP nel pacchetto di ARP-request, provvederà ad inviare una risposta (ARP-reply) in unicast all’indirizzo MAC sorgente, contenente il proprio MAC.
In questo modo, ogni host può scoprire l’indirizzo fisico degli altri host sulla stessa sottorete. Questo è particolarmente importante nel caso si voglia conoscere i dispositivi di rete quali gateway, routers, ecc. per verificare eventuali malfunzionamenti di un nodo della rete stessa.
Si noti che l’arrivo dell’ARP-request ad un nodo aggiorna completamente la tabella ARP presente nella cache a lei dedicata dal protocollo, senza rispetto per le voci preesistenti nella tabella stessa. [Wikipedia]
Pirni Pro fa proprio questo: la costruzione ad arte di un pacchetto ARP ingannevole è semplice, e infatti questa è una tra le maggiori vulnerabilità delle reti locali. Inviando ad un host un ARP REPLY opportunamente contraffatto possiamo modificare la sua cache ARP, ottenendo ad esempio la possibilità di intercettare dati destinati ad altri host. Questa tecnica è detta ARP Spoofing o ARP cache Poisoning.
Si tratta quindi di uno strumento utile per controllare la sicurezza della propria rete e va utilizzato solo per questo scopo, associato alla possibilità di scoprire tutte le attività avutesi sul proprio network.
Pirni Pro è disponibile su Cydia al prezzo di 1,99$.