L’attacco Man in the Middle: cos’è e come funziona

17172 0

Man In The Middle (MITM), tradotto in italiano “l’uomo nel mezzo”, è un attacco informatico in cui, in una connessione tra due utenti, un terzo soggetto si mette illegittimamente nel mezzo.

In questo articolo di Giorgio Perego, IT Manager, vediamo nel dettaglio come funziona questa tecnica, come riconoscere un attacco e come difendersi.

Che cos’è l’attacco Man in the Middle

Con Man in The Middle il cyber criminale sfrutta le informazioni che vengono scambiate tra le varie persone collegate alla stessa rete. Questo tipo di attacco assume diverse forme:

  • l’intercettazione,
  • l’accesso ad account privati ,
  • l’invio di messaggi scam…

Questi attacchi sono molto più gravi e comuni di quanto pensiamo, perché consentono al cyber criminale di accedere alle nostre informazioni.

Questa tipologia di attacco consente a un cybercriminale di intercettare il traffico tra due dispositivi e di spiarne l’attività mettendosi appunto nel mezzo.

Questo tipo di attacco con tecnica Man In The Middle, può essere sferrato per esempio:

  • all’interno di una rete locale o di una rete domestica Wi-Fi
  • su Internet
  • durante l’accoppiamento di due dispositivi Bluetooth
  • durante un pagamento tramite Pos e carta contacless.

Come funziona

Con Man in the Middle si intendono diversi tipi di attacchi, tutti accomunati dalla stessa caratteristica. In una connessione legittima tra due utenti o due dispositivi, un terzo soggetto si mette illegittimamente “in the middle”, cioè nel mezzo.

Questo tipo di attacco è molto pericoloso perché il malcapitato non si accorge di niente.

Man in the middle: un esempio

Facendo un esempio è come se, durante una conversazione via chat, un malintenzionato si inserisse e leggesse lo scambio, potendo anche modificarne il testo.

Immaginiamo due persone online, Mario Rossi e Giovanna Bianchi.
Queste due persone vogliono mantenere privata la loro conversazione (supponiamo che stiano parlando di progetti di lavoro), per le loro aziende. Un malintenzionato (che chiameremo Matteo) vuole sapere di cosa stanno parlando Mario e Giovanna, ma ovviamente non vuole farsi scoprire. Matteo si metterà tra Mario e Giovanna, studierà ed imparerà cosa si dicono, modificherà le informazioni e le invierà all’altra parte senza che ne Mario né Giovanna ne vengano a conoscenza.

Tecnica Man in the Middle: i casi tipici

L’attacco più diffuso (MITM) è quello all’interno di una rete Wi-Fi pubblica non crittografata. Ad esempio la rete degli aeroporti, dei bar o di altri esercizi commerciali.

Il malintenzionato, utilizzando uno strumento gratuito come Wireshark, può infiltrarsi nella rete e leggere tutti i pacchetti di dati scambiati.

Fortunatamente questo tipo di attacco negli ultimi anni è diventato meno frequente, grazie al protocollo di rete HTTPS. Il protocollo HTTPS a differenza del precedente protocollo HTTP è sicuro perché crittografato.

L’attaccante con un attacco Man In The Middle verso una trasmissione HTTPS può ottenere una manciata di dati illeggibili. Purtroppo neanche l’HTTPS è sicuro al 100%.

Adottando diverse tecniche il malintenzionato dopo essersi “messo in mezzo”, costringere i dispositivi a usare un protocollo di rete non criptato.

ARP CACHE POISONING

Nell’attacco ARP Cache Poisoning, il malintenzionato tenta di associare il proprio indirizzo MAC con l’indirizzo IP di qualcun altro presente nella rete.

Se l’associazione va a buon fine, il malintenzionato prende le sembianze dell’altro utente e tutti i dati destinati alla vittima vengono trasmessi all’attaccante.

SPOOFING DNS

Con l’utilizzo di questa tecnica il malintenzionato può deviare le richieste di accesso ad un sito verso un secondo sito fasullo che controlla. In questo modo acquisisce i dati personali dell’utente con la possibilità di distribuire malware.

Il DNS è il servizio che traduce gli indirizzi Web digitati dagli utenti per la navigazione; indirizzi che corrispondono a IP che indentificano ogni singolo nodo: server web, computer, stampante, webcam, ecc.

Se il malintenzionato riesce a modificare i server DNS può spedire gli utenti dove vuole.

Creare un falso Access Point

L’ultimo tipo di attacco (che potrebbe sembrare banale), invece è quello che funziona quasi sempre.  Si tratta di creare un falso Access Point (dal nome simile ma non uguale a quello legittimo), creando così un ponte tra l’utente e il router della rete Wi-Fi.

Detto così sembra strano e banale, invece la gente ci casca quasi sempre e si connette all’Access Point fasullo creato dal malintenzionato aprendo così le porte del suo dispositivo.

MALWARE E MAN IN THE MIDDLE

È possibile lanciare un attacco servendosi di un malware; in gergo tecnico si parla di attacco “man in the browser” perché il malintenzionato tramite il virus infetta il software di navigazione sul Web.

Una volta compromesso il browser, l’attaccante può manipolare una pagina web mostrando qualcosa di diverso rispetto al sito originale.

Potrebbe anche dirottare il malcapitato su siti web fake, che simulano ad esempio pagine bancarie o social media, impossessandosi delle chiavi di accesso … al resto immaginate voi!

Prendiamo ad esempio il trojan SpyEye, utilizzato come keylogger per rubare le credenziali dei siti Web. SpyEye è stato sviluppato in Russia nel 2009, è stato diffuso tramite estensioni per i browser Google Chrome, Firefox, Internet Explorer e Opera.

Come proteggersi dagli attacchi MITM?

Di seguito possiamo vedere alcune pratiche per evitare che gli attacchi MITM:

Rete: tieni monitorata sempre la tua rete. Gli attacchi man-in-the-middle spesso creano strane attività sulla rete sotto attacco. Installare un sistema di rilevamento delle intrusioni (IDS) per individuare i primi segni di una violazione.

Segmenta la tua rete: segmentare la propria rete alza di sicuro il livello di sicurezza in caso di attacco.

Utilizza sempre connessioni sicure: ovviamente non viene garantita la sicurezza al 100%, ma visitare solo siti con una connessione HTTPS (Secure Socket Layer SSL) è una buona pratica. Assicurati che gli URL dei siti che visiti inizia con “HTTPS”.

Autenticazione a più fattori: questo tipo di autenticazione richiede, a chi la utilizza, di confermare la propria identità oltre alla password anche all’inserimento di un codice prodotto o da un’apposita App o da un codice ricevuto via messaggio.

Tieni sempre aggiornati i software: tenere sempre aggiornati i propri software (antivirus, sistema operativo, software che utilizzate per il vostro lavoro), alza l’asticella della sicurezza. Un malintenzionato potrebbe sfruttare un baco presente nel software per violare la tua azienda, la tua rete etc…

Crittografia WPA: configura la tua rete wireless con un protocollo di crittografia WPA, WPA2 o WPA3, individuare un attacco Man-in-the-middle diventa difficile se non adotti misure adeguate.

Per saperne di più consulta il volume di Giorgio Perego “Sicurezza informatica per tutti

Iscriviti al canale You Tube di Giorgio Perego

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati. Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica. Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.