Digital Transformation
Internet of Things
Cyber Security

29 agosto 2023

Come funziona un attacco Man-in-the-Middle

Un attacco Man-in-the-Middle (MitM) è una forma di attacco informatico in cui un malintenzionato si interpone tra la comunicazione di due entità, come potrebbero essere un utente e un sito web o un’applicazione. Il vero pericolo di questo tipo di attacco è che entrambe le parti coinvolte nella comunicazione potrebbero non essere consapevoli dell’interferenza dell’attaccante.

Fasi di un attacco Man-in-the-Middle

Intercettazione

Nella fase iniziale, l’attaccante deve riuscire ad “entrare” nel mezzo della comunicazione. Questo può essere fatto in molti modi, come ad esempio:

  • Creando una rete Wi-Fi fasulla con un nome simile a una rete legittima.
  • Utilizzando tecniche di ARP spoofing per dirottare il traffico su una rete locale.
  • Manipolando le tabelle di routing o i server DNS per reindirizzare il traffico attraverso un punto controllato dall’attaccante.

Decrittografia (se necessario)

Se i dati scambiati sono crittografati, l’attaccante dovrà trovare un modo per decrittografarli. Questo può essere fatto attraverso vari metodi:

  • SSL stripping per forzare il sito web a utilizzare una connessione HTTP non sicura.
  • Attacchi “downgrade” per far utilizzare algoritmi di crittografia più deboli che possono essere facilmente decrittografati.

Manipolazione e reinvio

Una volta ottenuto l’accesso ai dati, l’attaccante può scegliere di:

  • Semplicemente ascoltare, raccogliendo dati sensibili come password, numeri di carta di credito, ecc.
  • Modificare i dati prima di inoltrarli alla destinazione originale. Ad esempio, potrebbe alterare i dettagli di un trasferimento bancario.
  • Creare nuove transazioni o richieste da inviare alla vittima o al sito web/applicazione.

Uscita dall’Attacco

In molti casi, l’attaccante cercherà di terminare la sua interferenza senza lasciare tracce, per evitare la scoperta e possibili azioni legali.

Un caso classico: Attacco su Wi-Fi Pubblico

Immagina di essere in un caffè e di collegarti alla rete Wi-Fi gratuita. Un attaccante potrebbe aver impostato una rete Wi-Fi con un nome simile per indurti a connetterti a quella. Una volta che il tuo dispositivo è connesso alla rete fasulla, l’attaccante può monitorare tutto il tuo traffico Internet. Se accedi al tuo account bancario, l’attaccante potrebbe intercettare le tue credenziali e utilizzarle per accedere al tuo conto

Altri esempi

  1. sniffing di pacchetti: Utilizzando strumenti come Wireshark, un attaccante può catturare pacchetti dati che viaggiano attraverso una rete non protetta e analizzarli per ottenere informazioni come password o dettagli finanziari.
  2. attacco ARP spoofing: In una rete LAN, l’attaccante può mandare pacchetti ARP falsi per associare il proprio indirizzo MAC con l’indirizzo IP di un altro dispositivo nella rete. In questo modo, tutto il traffico destinato a quell’indirizzo IP verrà reindirizzato attraverso l’attaccante.
  3. attacco SSL Stripping In questo tipo di attacco, il malintenzionato induce il browser della vittima a utilizzare una versione non cifrata (HTTP) di un sito web che normalmente utilizza la crittografia (HTTPS). Una volta che la comunicazione è degradata a HTTP, l’attaccante può facilmente intercettare le informazioni.
  4. attacco Man-in-the-App In questo caso, l’attaccante sfrutta una vulnerabilità all’interno di un’applicazione mobile per intercettare o alterare i dati trasmessi tra l’app e i server backend.

Come proteggersi

Utilizzare connessioni sicure

Sempre più spesso, i siti web utilizzano HTTPS piuttosto che HTTP. HTTPS cifra la comunicazione tra il tuo browser e il server, rendendo molto più difficile per un attaccante intercettare i dati.

VPN

Una VPN (Virtual Private Network) cifra tutto il traffico tra il tuo dispositivo e il server VPN, rendendo molto più difficile per gli attaccanti di eseguire un attacco MitM.

Autenticazione a due fattori

L’autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza, richiedendo non solo una password ma anche un secondo fattore come un codice SMS o un’app di autenticazione.

Aggiornamenti di sicurezza

Mantieni sempre aggiornati il sistema operativo e le applicazioni. Gli aggiornamenti di sicurezza contengono spesso patch per vulnerabilità note che potrebbero essere sfruttate in attacchi MitM.

Certificati Digitali e Public Key Infrastructure (PKI)

L’uso di una solida PKI e di certificati digitali autenticati può fornire un ulteriore livello di fiducia nella comunicazione cifrata, rendendo più difficile per un attaccante impersonare un sito web o un servizio.

Controllo dell’Integrità della Rete

Strumenti come Intrusion Detection Systems (IDS) o Intrusion Prevention Systems (IPS) possono monitorare il traffico di rete alla ricerca di anomalie o di pattern che suggeriscono un attacco MitM in corso.

Utilizzo di Protocolli Sicuri per la Gestione di Rete

Utilizzare protocolli come SSH per l’amministrazione remota invece di protocolli non sicuri come Telnet. Protocolli come SFTP o SCP dovrebbero essere utilizzati al posto di FTP per il trasferimento di file.

Formazione e Consapevolezza degli Utenti

Spesso, il punto più debole in una rete è l’utente. Una formazione adeguata può insegnare agli utenti a riconoscere potenziali minacce, come reti Wi-Fi fasulle o messaggi di phishing che possono essere precursori di un attacco MitM.

Verifica dell’Identità del Dispositivo

In alcuni casi, come nelle reti aziendali, è possibile implementare un sistema di verifica dell’identità del dispositivo prima di consentire l’accesso alla rete.

Conclusione

Gli attacchi Man-in-the-Middle sono una minaccia seria e in continua evoluzione nel panorama della sicurezza informatica. Conoscere come funzionano e come proteggersi può fare la differenza tra mantenere i propri dati al sicuro o diventare una vittima. Implementando una serie di misure di sicurezza come l’utilizzo di HTTPS, VPN e autenticazione a due fattori, è possibile ridurre notevolmente il rischio di cadere vittima di un attacco MitM.