I Man-in-the-middle (MITM) sono molto popolari tra gli autori di attacchi informatici. Consistono nell’interporsi tra mittente e ricevente all’interno di una comunicazione. Gli attaccanti facendo quindi da tramite, possono decodificare e leggere in chiaro le comunicazioni private tra due parti.
In questo articolo, gli esperti di Cyberment, approfondiscono meccanismi, varianti e tipologie del Man-in-the-Middle e divulgano una serie di consigli utili per prevenire questo tipo di attacco informatico.
MITM: panoramica sull’attacco informatico
Un attacco man-in-the-middle (MITM) è una forma di attacco informatico in cui un agente malintenzionato si inserisce in modo invisibile e non autorizzato tra due soggetti che stanno comunicando tra loro.
Alla base di un attacco MITM vi è solitamente lo sfruttamento di protocolli di trasporto deboli o obsoleti oppure del loro erroneo utilizzo.
L’obiettivo principale di un attacco MITM è:
- intercettare
- manipolare
- alterare
la comunicazione tra le due parti senza che esse se ne accorgano
Tuttavia, le finalità degli attacchi MITM non si riducono alla sola appropriazione indebita di dati trasmessi in una comunicazione privata.
Spesso, infatti, le connessioni intercettate dall’aggressore vengono totalmente corrotte e trasfigurate, fino ad arrivare alla completa interruzione del servizio.
Pertanto, l’attaccante può operare essenzialmente in due modi:
- restare passivo e limitarsi a reperire informazioni altrimenti riservate
- gestire attivamente la comunicazione fino a fingersi una delle parti
Data la sua natura, un attacco MITM è solitamente un mezzo, tramite il quale è possibile raccogliere informazioni preziose e gettare le basi per futuri attacchi più strutturati. Tuttavia, l’attacco offre anche la possibilità di capitalizzare immediatamente, specialmente se i dati trafugati riguardano credenziali private, dati bancari o simili.
Parte del successo riscosso da questi attacchi è dovuto anche al fatto che l’attaccante riesce a fingersi una persona o un servizio affidabile, inducendo la vittima a comunicare informazioni sensibili senza accorgersi della frode in atto.
Anche nel caso di comunicazioni criptate con doppia chiave (tipo RSA), l’attaccante può intercettare le chiavi pubbliche dei due interlocutori, riuscendo così a decifrare tutti i messaggi della conversazione, ma restando nell’assoluto anonimato.
Difatti, questi attacchi sono molto difficili da individuare mentre sono in atto.
Man-in-the-Middle: le principali tipologie
Nella dicitura “Man in The Middle” si racchiude un ventaglio di tipologie di attacco, che rappresentano applicazioni differenti di uno stesso principio d’azione.
Tra le tattiche più diffuse troviamo:
Session Hijacking
Rubando il cookie di sessione, un attaccante è in grado di sostituirsi ad un utente durante una comunicazione. Oggetto di questa tecnica sono le sessioni di home banking e di shopping online.
IP spoofing
La tattica prevede che l’attaccante si inserisca in una comunicazione privata, nascondendo il suo indirizzo IP, ovvero il codice univoco relativo al protocollo di rete che identifica in modo univoco un device.
MFA bombing
Gli attacchi MITM consentono di vanificare il compito delle autenticazioni a più fattori. In questa particolare azione, l’attaccante è in possesso di username e password di un utente.
Per ottenere l’accesso ad un account, però, ha spesso bisogno anche di altri fattori autenticazione, spesso temporanei (come un OTP).
Per ottenerle, l’hacker si finge di contattare l’utente da un servizio legittimo, come una banca o l’assistenza clienti, inscenando presunte richieste di reimpostazione account al fine di ottenere l’informazione necessaria.
SSL stripping
In questo caso, gli hacker si interpongono tra utente e server instaurando una connessione sicura tra sé stessi e il server, mentre ricevono le comunicazioni in chiaro tramite il protocollo HTTP dall’utente.
Pertanto, viene compromessa l’intera comunicazione senza che l’utente possa rendersene conto.
MITMo: tecniche di intercettazione per applicazioni mobile
Le vulnerabilità nell’utilizzo dei protocolli nelle applicazioni mobile può tradursi in una variante del Man-in-the-Middle: l’MITMO, ovvero Man-in-the-Mobile.
In particolare, nelle app mobile è fondamentale il modo in cui viene gestita l’autenticazione, per assicurare che la comunicazione stia avvenendo tra le due parti legittime.
Gli attaccanti, per raggiungere i loro obiettivi, hanno la possibilità di sfruttare:
- una validazione errata dei certificati di comunicazione
- l’eventuale impiego di protocolli obsoleti o non sicuri
Nello specifico, per quanto riguarda le applicazioni mobile, viene attuato il cosiddetto certificate pinning.
In breve, i protocolli ritenuti sicuri vengono associati ad un host con il quale si intende instaurare una comunicazione. Questa contromisura serve a evitare gli attacchi MiTM, ma ha ben poca efficacia nel combatterli quando sono già in atto.
Pertanto, occorre che questa funzionalità sia già presente nell’applicativo mobile prima che il device si connetta alla rete.
Man in the Browser (MITB)
Il Man-in-the-Browser (MITB) è una forma di attacco Man-in-the-middle dove l’attaccante riesce ad interporsi nella comunicazione tra due entità attraverso la compromissione del browser (client web) di una delle due.
Il fine è sempre quello di origliare comunicazioni altrimenti private, questa volta però sfruttando le vulnerabilità del sistema di acceso al web (il browser, appuno), anziché del livello di comunicazione.
L’attacco Man-in-the-Browser viene messo in atto tipicamente per portare a termine frodi bancarie, dato che, compromettendo il browser, è possibile manomettere il comportamento e il contenuto delle pagine web.
In aggiunta, per raggiungere lo scopo, vengono solitamente utilizzati malware, tipicamente trojan.
Evil twin e le altre varianti del Man-in-the-Middle
Gli attaccanti possono falsificare i punti di accesso wi-fi legittimi, riuscendo a controllare tutto il traffico scambiato attraverso di esso.
Questa minaccia è nota come Evil Twin o wi-fi spoofing e solitamente viene impiegata per ottenere informazioni o dati sensibili, meglio se in ambito bancario.
Ad esempio, notando una transazione bancaria in atto, un attaccante potrebbe operare da Man-in-the-Middle e dirottare un bonifico, oppure carpire le credenziali e altre informazioni personali.
Ancora, intercettare il traffico dati di una vittima, consente all’intruso di conoscere i requisiti di aggiornamento dei software utilizzati. Nel momento in cui la vittima tenta di aggiornare un applicativo, l’attaccante può invece inviare un software modificato, spesso contenente un malware o semplicemente una vulnerabilità ad hoc da sfruttare in seguito.
A tal proposito, sono disponibili interi exploit kit di vario genere, specificatamente creati per sfruttare aggiornamenti falsificati.
Sebbene un attacco del genere necessiti di essere in prossimità della vittima, è anche possibile compromettere i protocolli di routing e operare, così, da remoto.
Gli attaccanti fingono di avere giurisdizione su determinati indirizzi IP, cosicché il traffico viene reindirizzato verso di loro, consentendo la messa in atto di attacchi MITM.
Come prevenire il Man-in-the-Middle
Fortunatamente esistono tecniche di prevenzione e buone norme che limitano di molto la prima riuscita di un attacco MITM.
Tuttavia, se una minaccia è già in atto, è difficile rendersene conto e intervenire a posteriori (anche perché probabilmente i danni sono già stati fatti).
Pertanto, la prevenzione rimane una strategia insostituibile per contrastare il Man-in-the-Middle.
Tra le buone pratiche possiamo elencare:
-
-
- Adottare un protocollo di comunicazione sicuro
Sebbene anche i protocolli più complessi possano presentare delle lacune, l’uso di questi strumenti di trasmissione può rendere più sicura l’esperienza sulla rete. Il protocollo di crittografia TLS, ad esempio, è divenuto un vero e proprio standard nella protezione delle comunicazioni online.
-
- Crittografare il traffico con una VPN
Come abbiamo accennato, l’uso di punti di accesso Wi-Fi pubblici o non completamente verificabili consente l’innesco di attacchi di tipo MITM. Sia in ambito lavorativo che personale, è bene tenere alta l’attenzione sui rischi che derivano dall’utilizzo di connessioni non sicure o dall’instaurazione di trasmissioni tramite protocolli obsoleti. Per innalzare ulteriormente il livello di sicurezza delle connessioni, specialmente in ambito aziendale, è opportuno implementare delle soluzioni VPN, per crittografare la connessione e renderne illeggibile il contenuto.
-
- Pulizia del dispositivo
Gli attacchi MITM sono difficili da identificare una volta in atto. Tuttavia, è opportuno quantomeno limitarne i possibili danni. A tal proposito, l’uso di antivirus aggiornati consente di eliminare eventuali minacce introdotte nel sistema in seguito all’attacco.
-
Conclusioni
Negli attacchi Man in the Middle, gli hacker si interpongono nella comunicazione tra la vittima e il servizio con il quale questa cerca di comunicare. Esistono varie sfaccettature di questo attacco, a seconda del contesto nel quale viene portato avanti.
Il concetto principale rimane sempre quello di:
- porsi “nel mezzo” tra due partecipanti ad una comunicazione
- impersonare totalmente uno degli utenti.
L’attacco può anche tenersi a livello applicativo nel browser (Man in the Browser), talvolta con tentativi di session hijacking.
Inoltre, le esigenze di attacco si sono adattate anche ai differenti dispositivi, andando a colpire anche quelli mobili.
Per ovviare a questo ventaglio di possibili minacce, la prevenzione ha senza dubbio il peso maggiore.
Infatti, come abbiamo più volte ribadito, è difficile individuare un tentativo di attacco MITM in atto. Tra i vari rimedi, dunque, rimane imprescindibile la corretta formazione sul tema di connessioni sicure e l’utilizzo di VPN.
https://cyberment.it/cyber-attacchi/mitm-mitmomitb-tutte-le-varianti-man-in-the-middle/