Attacchi Man-in-the-Middle (MITM)
Cos'è un attacco Man-in-the-Middle?
L'attacco Man-in-the-Middle (MITM) è un attacco informatico in cui un criminale informatico intercetta i dati inviati tra due aziende o persone. Lo scopo dell'intercettazione è quello di rubare, "origliare" o modificare i dati per scopi malevoli, come l'estorsione di denaro.
Come funziona un attacco Man-in-the-Middle?
Gli attacchi MITM dipendono dalla manipolazione di reti esistenti o dalla creazione di reti dannose controllate dal criminale informatico. Il criminale informatico intercetta il traffico e lo lascia passare, raccogliendo informazioni, oppure lo dirotta altrove.
I criminali informatici agiscono essenzialmente come "intermediari" tra chi invia le informazioni e chi le riceve, da cui il nome "attacco Man-in-the-Middle" (o uomo-che-sta-in-mezzo). Questi attacchi sono sorprendentemente diffusi, soprattutto nelle reti Wi-Fi pubbliche. LaWi-Fi pubblica è spesso non protetta, quindi non è possibile sapere chi sta monitorando o intercettando il traffico web, dato che chiunque può accedervi.
Tipi di attacchi MITM
Esistono diversi tipi di attacchi MITM, che li rendono una delle minacce informatiche più versatili dei giorni nostri.
Wi-Fi pubblica
Uno dei metodi di attacco MITM più comuni è utilizzare la Wi-Fi pubblica, la quale spesso non è protetta, quindi i criminali informatici possono visualizzare il traffico web da qualsiasi dispositivo connesso alla rete e prelevare le informazioni che desiderano.
Rogue access point
Un Rogue access point è un access point wireless che è stato installato su una rete legittima e che consente al criminale informatico di intercettare o monitorare il traffico in ingresso, spesso reindirizzandolo interamente verso una rete diversa per incoraggiare a scaricare malware o per estorcere qualcosa all'utente. Il malware è un tipo di software dannoso installato sul dispositivo della vittima e utilizzato per spiare e rubare dati.
IP Spoofing
Lo spoofing dell'IP consiste nel modificare un indirizzo IP per reindirizzare il traffico verso il sito web di un malintenzionato. Quest'ultimo “falsifica” l'indirizzo alterando le intestazioni dei pacchetti per camuffarsi da applicazione o sito web legittimo.
ARP Spoofing
Questo attacco collega l'indirizzo MAC dell'aggressore con l'indirizzo IP della vittima su una rete locale usando falsi messaggi ARP (Address Resolution Protocol). Qualsiasi dato inviato alla rete locale dalla vittima viene invece reindirizzato all'indirizzo MAC del criminale informatico, che può intercettare e manipolare a piacimento i dati.
DNS Spoofing
Il criminale informatico entra nel server DNS di un sito web e modifica il record di indirizzo di un sito web. Il record DNS così modificato reindirizzerà quindi il traffico in ingresso verso il sito web del criminale informatico.
HTTPS Spoofing
Quando un utente si collega a un sito web sicuro (con il prefisso https://), il criminale informatico invia un falso certificato di sicurezza al browser. Il certificato "inganna" ("to spoof" in inglese) il browser facendogli credere che il collegamento sia sicuro, quando invece è il criminale informatico ad aver intercettato e forse reindirizzato i dati.
Dirottamento di sessione
I criminali informatici utilizzano il dirottamento di sessione per prendere il controllo di una sessione web o di un'applicazione. Il dirottamento espelle l'utente legittimo dalla sessione, chiudendo effettivamente il criminale all'interno dell'app o dell'account del sito web fino a quando non avrà preso le informazioni desiderate.
Packet Injection
Il criminale informatico crea pacchetti apparentemente normali e li inietta in una rete già esistente per accedere e monitorare il traffico o avviare attacchi DDoS. Un attacco DDoS (Distributed Denial-of-Service) è un tentativo di interrompere il normale traffico di un server sommergendolo con una marea di traffico Internet.
SSL Strip
Il criminale informatico intercetta il segnale TLS di un'applicazione o di un sito web e lo modifica in modo che il sito venga caricato su una connessione non protetta come HTTP anziché HTTPS. In questo modo la sessione dell'utente è visibile al criminale informatico, insieme alle sue informazioni sensibili.
SSL Spoofing
Questo metodo prevede la falsificazione di un indirizzo di sito sicuro in modo che la vittima vada a visitarlo. I criminali informatici dirottano la comunicazione tra la vittima e il server web del sito a cui vogliono accedere, mascherando un sito pericoloso come se fosse l'URL di un sito legittimo.
SSL BEAST
Il criminale informatico infetta il computer di un utente con del JavaScript pericoloso. Il malware quindi intercetta i cookie del sito web e i token di autenticazione per la decrittografia, rendendo visibile l'intera sessione della vittima al criminale informatico.
Furto dei cookie del browser con SSL
I cookie sono porzioni di informazione sul sito web che vengono conservate sul dispositivo con cui lo si visita. Sono utili per ricordare l'attività web e le credenziali, ma i criminali informatici possono rubarli per ottenere tali informazioni e usarli per scopi pericolosi.
Sniffing
Gli attacchi di sniffing monitorano il traffico per sottrarre informazioni. Lo sniffing avviene utilizzando un'applicazione o dell'hardware e rende visibile il traffico web della vittima al criminale informatico.
Come riconoscere un attacco Man-in-the-Middle
Riconoscere un attacco MITM può aiutare le aziende o i privati a ridurre i potenziali danni causati da un criminale informatico. Ecco alcuni metodi:
Analisi di strani siti web
- Monitorate i vostri browser web per cercare strani indirizzi web nella barra di ricerca o nella barra degli URL. Un dirottamento DNS può creare indirizzi comuni falsificati, in genere con modifiche appena percettibili. Ad esempio, un utente malintenzionato potrebbe sostituire "www.facebook.com" con “www.faceb00k.com.” Questo metodo di falsificazione funziona sorprendentemente bene e alla maggior parte di noi sfuggono semplici modifiche senza guardare con maggiore attenzione.
Disconnessioni inaspettate e ritardi di rete
- Alcune forme di attacchi MITM causano ritardi di rete improvvisi e inaspettati o disconnessioni complete. Questi attacchi possono verificarsi nel tempo e di solito non sono accompagnati da problemi di rete o altri sintomi evidenti.
- Se si verificano frequenti disconnessioni o ritardi sulla rete, potrebbe essere una buona idea dare un'occhiata più approfondita al problema per assicurarsi che non si tratti solo di un problema di rete.
Monitoraggio della Wi-Fi pubblica
- Gli aggressori spesso intercettano le informazioni inviate attraverso le reti pubbliche, o addirittura creano reti false in luoghi pubblici. Queste reti consentono ai criminali informatici di vedere tutte le vostre attività sul web senza che voi sappiate di essere sotto attacco. Se possibile, evitate le reti Wi-Fi pubbliche e utilizzate una VPN se dovete proprio collegarvi. Si dovrebbe anche evitare di connettersi a reti sconosciute con nomi sospetti.
Come impedire un attacco Man-in-the-Middle
Prevenire gli attacchi Man-in-the-Middle può far evitare a privati e aziende migliaia di danni e mantenere intatta la loro identità web e pubblica. Ecco alcuni strumenti essenziali per prevenire gli attacchi MITM:
Applicazione di gestione delle password
- Usare un gestore di password con adeguate funzioni di sicurezza di rete, garantisce che tutte le credenziali di accesso siano memorizzate in modo sicuro. Un'importante funzione anti-MITM è la crittografia end-to-end. Keeper ha integrato la crittografia end-to-end con la condivisione tra cassette di sicurezza che utilizza l'infrastruttura a chiave pubblica (Public Key Infrastructure, PKI). Ciò significa che i criminali informatici non possono intercettare le password o altri dati condivisi durante il transito. Per le aziende, Keeper offre anche cartelle condivise per i team, nonché funzionalità di controllo in base al ruolo che consentono agli amministratori di limitare e suddividere l'accesso tra i membri del team.
Rete privata virtuale (VPN)
- Una rete privata virtuale, o VPN, reindirizza tutto il traffico Internet attraverso diversi server, nascondendo di fatto l'indirizzo IP dell'utente e rendendo la sessione di navigazione più privata e sicura. Le VPN includono anche la crittografia intrinseca che aiuta a proteggere i messaggi e altri dati.