fbpx

L’attacco Man in the Middle: cos’è e come funziona

441 0

Man In The Middle (MITM), tradotto in italiano “l’uomo nel mezzo”, è un attacco informatico in cui, in una connessione tra due utenti, un terzo soggetto si mette illegittimamente nel mezzo.

In questo articolo di Giorgio Perego, IT Manager, vediamo nel dettaglio come funziona questa tecnica, come riconoscere un attacco e come difendersi.

Che cos’è l’attacco Man in the Middle

Questa tipologia di attacco consente a un cybercriminale di intercettare il traffico tra due dispositivi e di spiarne l’attività mettendosi appunto nel mezzo.

Questo tipo di attacco con tecnica Man In The Middle, può essere sferrato per esempio:

  • all’interno di una rete locale o di una rete domestica Wi-Fi
  • su Internet
  • durante l’accoppiamento di due dispositivi Bluetooth
  • durante un pagamento tramite Pos e carta contacless.

Come funziona

Con Man in the Middle si intendono diversi tipi di attacchi, tutti accomunati dalla stessa caratteristica. In una connessione legittima tra due utenti o due dispositivi, un terzo soggetto si mette illegittimamente “in the middle”, cioè nel mezzo.

Questo tipo di attacco è molto pericoloso perché il malcapitato non si accorge di niente.

Facendo un esempio è come se, durante una conversazione via chat, un malintenzionato si inserisse e leggesse lo scambio, potendo anche modificarne il testo.

Tecnica Man in the Middle: i casi tipici

L’attacco più diffuso (MITM) è quello all’interno di una rete Wi-Fi pubblica non crittografata. Ad esempio la rete degli aeroporti, dei bar o di altri esercizi commerciali.

Il malintenzionato, utilizzando uno strumento gratuito come Wireshark, può infiltrarsi nella rete e leggere tutti i pacchetti di dati scambiati.

Fortunatamente questo tipo di attacco negli ultimi anni è diventato meno frequente, grazie al protocollo di rete HTTPS. Il protocollo HTTPS a differenza del precedente protocollo HTTP è sicuro perché crittografato.

L’attaccante con un attacco Man In The Middle verso una trasmissione HTTPS può ottenere una manciata di dati illeggibili. Purtroppo neanche l’HTTPS è sicuro al 100%.

Adottando diverse tecniche il malintenzionato dopo essersi “messo in mezzo”, costringere i dispositivi a usare un protocollo di rete non criptato.

ARP CACHE POISONING

Nell’attacco ARP Cache Poisoning, il malintenzionato tenta di associare il proprio indirizzo MAC con l’indirizzo IP di qualcun altro presente nella rete.

Se l’associazione va a buon fine, il malintenzionato prende le sembianze dell’altro utente e tutti i dati destinati alla vittima vengono trasmessi all’attaccante.

SPOOFING DNS

Con l’utilizzo di questa tecnica il malintenzionato può deviare le richieste di accesso ad un sito verso un secondo sito fasullo che controlla. In questo modo acquisisce i dati personali dell’utente con la possibilità di distribuire malware.

Il DNS è il servizio che traduce gli indirizzi Web digitati dagli utenti per la navigazione; indirizzi che corrispondono a IP che indentificano ogni singolo nodo: server web, computer, stampante, webcam, ecc.

Se il malintenzionato riesce a modificare i server DNS può spedire gli utenti dove vuole.

Creare un falso Access Point

L’ultimo tipo di attacco (che potrebbe sembrare banale), invece è quello che funziona quasi sempre.  Si tratta di creare un falso Access Point (dal nome simile ma non uguale a quello legittimo), creando così un ponte tra l’utente e il router della rete Wi-Fi.

Detto così sembra strano e banale, invece la gente ci casca quasi sempre e si connette all’Access Point fasullo creato dal malintenzionato aprendo così le porte del suo dispositivo.

MALWARE E MAN IN THE MIDDLE

È possibile lanciare un attacco servendosi di un malware; in gergo tecnico si parla di attacco “man in the browser” perché il malintenzionato tramite il virus infetta il software di navigazione sul Web.

Una volta compromesso il browser, l’attaccante può manipolare una pagina web mostrando qualcosa di diverso rispetto al sito originale.

Potrebbe anche dirottare il malcapitato su siti web fake, che simulano ad esempio pagine bancarie o social media, impossessandosi delle chiavi di accesso … al resto immaginate voi!

Prendiamo ad esempio il trojan SpyEye, utilizzato come keylogger per rubare le credenziali dei siti Web. SpyEye è stato sviluppato in Russia nel 2009, è stato diffuso tramite estensioni per i browser Google Chrome, Firefox, Internet Explorer e Opera.

Come proteggersi dagli attacchi MITM?

Come già ripetuto in altri articoli, la miglior difesa contro gli attacchi MITM è la prudenza, evitando di connettersi a hot-spot pubblici; spesso si tratta di reti Wi-Fi con misure di sicurezza minime o addirittura senza alcuna crittografia.

Se proprio ci serve una connessione e non siamo in casa, meglio usare il proprio smarphone come hot-spot mobile.

Utilizzare una VPN,  potrebbe essere una soluzione abbastanza efficace contro un attacco simile, perché le VPN provvedono ad applicare una propria crittografia a tutto il traffico veicolato.

Ovviamente come tutte le cose, la sicurezza di una VPN è proporzionale alla serietà e all’efficienza del provider che la fornisce.

Per proteggersi invece dagli attacchi MITM basati su malware, la cosa importante è non installare malware (sembra banale e scontato, ma è così), tenere sempre aggiornato il proprio antivirus e effettuare sempre Windows Update per tenere aggiornato il sistema operativo.

Come sempre fatene buon uso facendo dei test su vostri device e computer, farli su device/computer non vostri è illegale.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

Giorgio Perego

IT Manager