Osservatorio digitale

Sicurezza informatica. L’attacco Man in the Middle: come funziona

Sicurezza informatica. L’attacco Man in the Middle: come funziona

Man In The Middle (MITM), tradotto in italiano “l’uomo nel mezzo” é' una minaccia informatica che permette - all'"uomo in mezzo" appunto - di intercettare e manipolare il traffico internet che noi crediamo essere privato.

Una delle possibilità di accesso più comune per i malintenzionati è quella di accedere tramite le reti Wi-Fi pubbliche, come ad esempio quelle degli aeroporti, dei lidi, o degli hotel, ma anche all’interno di una rete locale o di una rete domestica Wi-Fi, su Internet, durante l’accoppiamento di due dispositivi Bluetooth, durante un pagamento tramite Pos e carta contacless. Questo tipo di attacco è molto pericoloso perché il malcapitato non si accorge di niente. Facendo un esempio è come se, durante una conversazione via chat, un malintenzionato si inserisse e leggesse lo scambio, potendo anche modificarne il testo.

I casi tipici

  • Man in the Middle. L’attacco più diffuso (MITM) è quello all’interno di una rete Wi-Fi pubblica non crittografata. Ad esempio, la rete degli aeroporti, dei bar o di altri esercizi commerciali. Fortunatamente questo tipo di attacco negli ultimi anni è diventato meno frequente, grazie al protocollo di rete HTTPS. Il protocollo HTTPS a differenza del precedente protocollo HTTP è sicuro perché crittografato. L’attaccante con un attacco Man In The Middle verso una trasmissione HTTPS può ottenere una manciata di dati illeggibili. Purtroppo, neanche l’HTTPS è sicuro al 100%. Adottando diverse tecniche il malintenzionato dopo essersi “messo in mezzo”, costringere i dispositivi a usare un protocollo di rete non criptato.
  • Attacco ai dispositivi mobile. Si tratta dell’attacco che sta maggiormente prendendo piede, specialmente a causa della grande diffusione degli smartphone e il ruolo che stanno assumendo nella nostra vita privata e lavorativa. In questa modalità i cybercriminali compromettono i servizi di messaggistica, attraverso cui rubano le informazioni. È particolarmente rischioso per tutti quei servizi che utilizzano l’autenticazione a due fattori, tipici delle banche, ma non solo (anche Amazon lo sta implementando per aumentare la sicurezza degli accessi), in quanto viene intercettato il traffico degli sms.
  • Arp cache poisoning. Nell’attacco ARP Cache Poisoning, il malintenzionato tenta di associare il proprio indirizzo MAC con l’indirizzo IP di qualcun altro presente nella rete. Se l’associazione va a buon fine, il malintenzionato prende le sembianze dell’altro utente e tutti i dati destinati alla vittima vengono trasmessi all’attaccante.
  • Spoofing dns. Con l’utilizzo di questa tecnica il malintenzionato può deviare le richieste di accesso ad un sito verso un secondo sito fasullo che controlla. In questo modo acquisisce i dati personali dell’utente con la possibilità di distribuire malware. Il DNS è il servizio che traduce gli indirizzi Web digitati dagli utenti per la navigazione; indirizzi che corrispondono a IP che indentificano ogni singolo nodo: server web, computer, stampante, webcam, ecc. Se il malintenzionato riesce a modificare i server DNS può spedire gli utenti dove vuole.
  • Creare un falso Access Point. L’ultimo tipo di attacco (che potrebbe sembrare banale), invece è quello che funziona quasi sempre.  Si tratta di creare un falso Access Point (dal nome simile ma non uguale a quello legittimo), creando così un ponte tra l’utente e il router della rete Wi-Fi. Detto così sembra strano e banale, invece la gente ci casca quasi sempre e si connette all’Access Point fasullo creato dal malintenzionato aprendo così le porte del suo dispositivo.
  • Malware e man in the middle. È possibile lanciare un attacco servendosi di un malware; in gergo tecnico si parla di attacco “man in the browser” perché il malintenzionato tramite il virus infetta il software di navigazione sul Web. Una volta compromesso il browser, l’attaccante può manipolare una pagina web mostrando qualcosa di diverso rispetto al sito originale. Potrebbe anche dirottare il malcapitato su siti web fake, che simulano ad esempio pagine bancarie o social media, impossessandosi delle chiavi di accesso … al resto immaginate voi! Prendiamo ad esempio il trojan SpyEye, utilizzato come keylogger per rubare le credenziali dei siti Web. SpyEye è stato sviluppato in Russia nel 2009, è stato diffuso tramite estensioni per i browser Google Chrome, Firefox, Internet Explorer e Opera.

Come proteggersi dagli attacchi MITM?

La miglior difesa contro gli attacchi MITM è la prudenza, evitando di connettersi a hot-spot pubblici; spesso si tratta di reti Wi-Fi con misure di sicurezza minime o addirittura senza alcuna crittografia. Se proprio ci serve una connessione e non siamo in casa, meglio usare il proprio smarphone come hot-spot mobile. Utilizzare una VPN,  potrebbe essere una soluzione abbastanza efficace contro un attacco simile, perché le VPN provvedono ad applicare una propria crittografia a tutto il traffico veicolato. Ovviamente come tutte le cose, la sicurezza di una VPN è proporzionale alla serietà e all’efficienza del provider che la fornisce. Per proteggersi invece dagli attacchi MITM basati su malware, la cosa importante è non installare malware (sembra banale e scontato, ma è così), tenere sempre aggiornato il proprio antivirus e effettuare sempre Windows Update per tenere aggiornato il sistema operativo. Anche se difficile da riconoscere, l’attacco Man-in-the-Middle si può prevenire con qualche accorgimento, sia di tipo tecnico che con un po’ più di consapevolezza sulle problematiche che la sicurezza informatica possono scatenare. Alcuni esempi:

  • Non utilizzare reti wifi pubbliche o non cifrate per eseguire operazioni quali pagamenti o invio di informazioni sensibili;
  • Navigare solamente su siti web in HTTPS (un protocollo per i siti web che serve dichiarare l’identità del server remoto);
  • Impostare una password personalizzata e sicura per la rete domestica;
  • Aggiornare sempre l’antivirus all’ultima versione;
  • Evitare di utilizzare il computer o qualsiasi device personale per lavoro;
  • Utilizzare un programma di crittografia tra client e server;
  • Utilizzare plugin per browser specifici per mettere in sicuro la connessione
  • Fare una scansione della vulnerabilità della rete (approfondisci)

 

Articoli Correlati

UFFICIO TELEMATICO