Con il termine MITM (Man in the Middle) si definisce una tecnica di cyber attacco con la quale il criminal hacker riesce ad insinuarsiin una comunicazioneonline (tra un client e un server o semplicemente tra due utenti) al fine di intercettare le informazioni scambiate. In questo modo il terzo incomodo può fingersi una delle parti e inviare false comunicazioni,sostituendosi ai relativi mittenti e destinatari legittimi.
L’attacco MITM molto subdolo e silente prende di mira comunemente:
- Le richieste di pagamento nei siti di shopping online;
- i dati bancari nelle transazioni con siti di home banking;
- qualsiasi comunicazione che avviene in rete con scambio di credenziali.
Principali tipologie di attacchi MITM
I canali per veicolare questo tipo di attacco possono essere diversi. Vediamone alcuni.
Wi-Fi
Per attuare un attacco tramite Wi-Fi, esistono varie possibilità applicabili su reti pubbliche (città, aeroporti, stazioni, bar), aziendali e domestiche:
- Rete contraffatta. Queste reti si presentano come reti Wi-Fi pubbliche opportunamente configurate con nomi invitanti che puntano sulla gratuità o convenienza del servizio;
- Rete clonata. Queste reti Wi-Fi possono simulare una rete legittima già usata dall’ignara vittima e sfruttare le funzioni di connessione automatica per agganciare tutti i relativi dispostivi al punto di accesso simulato;
- Rete violata. La violazione può avvenire carpendo o riuscendo a modificare password Wi-Fi per accedere all’interno della rete.
Una volta ottenuto il pieno controllo e visibilità delle attività, gli attaccanti possono procedere per sottrarre dati di accesso, dettagli di pagamenti e informazioni private.
Cookies
Con questo tipo di approccio può essere sfruttata una connessione non cifrata per falsificare i cookies, ovvero quei frammenti di codice che, generati dai browser durante le connessioni Web, possono contenere diverse informazioni di valore critico (account, attività, indirizzi IP e MAC), permettendo l’impersonificazione ed accessi arbitrari e fraudolenti.
Mobile
Grazie alla grande diffusione degli smartphone questo è un attacco che rientra tra quelli maggiormente adoperati e frequenti. In questo scenario gli attaccanti possono carpire e intercettare le informazioni compromettendo servizi di messaggistica e app, minando anche la sicurezza e l’integrità di quei servizi che utilizzano l’autenticazione multi fattore.
Browser
In questo caso il device/PC dell’utente viene infettato con un malware/trojan in grado di dirottare le connessioni online fatte via browser. Questo permette ai criminal hacker di intromettersi nelle comunicazioni e-mail e nelle transazioni di home banking all’insaputa della vittima che vedrà solo operazioni avvenute correttamente.
IoT
Anche i dispositivi IoT (Internet Of Things), come gli smartphone, rappresentano un canale MITM preferito e sfruttabile dai criminal hacker. Si tratta di un attacco Wi-Fi che coinvolge tutti i dispostivi connessi (tv, stampanti, sistemi di allarme etc.) per violare e carpire una grande quantità di dati utili a sferrare altre tipologie di attacchi.
Anatomia e metodi di un attacco
Gli attacchi MITM nelle reti di computer avvengono soprattutto per bypassare la cifratura SSL/TLS e ottenere così l’accesso arbitrario a informazioni e credenziali.
Si rappresenta di seguito un attacco MITM secondo uno schema suddiviso in due step:
- captazione dell’informazione;
- elaborazione dell’informazione.
Supponiamo che un sistema Gamma si inserisca illecitamente nella comunicazione tra un sistema Alfa (client) e uno Beta (server) e il relativo flusso dati venga deviato in modo che la connessione cifrata, prima di essere inoltrata al sistema Beta, passi dal sistema Alfa a quello Gamma. In tal caso chi presidia il sistema Gamma è in grado di captare (step 1) il traffico di dati e di elaboralo (step 2, registrandolo e manipolandolo) senza che le due parti interlocutrici ne siano consapevoli. Nella fattispecie il sistema Gamma si presenterà come server al sistema Alfa e come client al sistema Beta.
Captazione
Per intercettare il traffico di una comunicazione i criminal hacker ricorrono a tecniche che sfruttano le vulnerabilità delle trasmissioni in rete e di quei sistemi obsoleti o non aggiornati. Eccone alcune:
- ARP spoofing. L’ARP è un protocollo di rete per la mappatura tra l’indirizzo IP interno alla LAN e l’indirizzo fisico MAC (Media Access Control). Questa combinazione di indirizzi MAC e IP locali viene salvata in una cache ARP del computer richiedente e serve per identificare in modo univoco ogni pc interno ad una rete locale. In un attacco MITM l’ARP spoofing consente di falsificare la cache ARP dei diversi computer della rete in modo da fare credere che un sistema presidiato da un attaccante criminale sia un punto di accesso Wi-Fi oppure un gateway Internet. In tal modo, i criminal hacker hanno la possibilità di manipolare tutto il traffico dati in uscita da un computer compromesso prima che questo venga inoltrato al gateway legittimo. L’ARP spoofing è possibile solo a livello locale ovvero solo quando l’attaccante si trova sulla stessa LAN della vittima. Pertanto come misura preventiva bisogna cercare di evitare di accedere a reti sconosciute o usarle con attenzione. Esistono anche altre tipologie di spoofing che ben si prestano per l’allestimento di attacchi MITM come l’IP spoofing e l’e-mail spoofing, tecniche rispettivamente impiegate per falsificare gli indirizzi IP e gli indirizzi e-mail dei mittenti;
- DNS spoofing. A differenza dell’ARP spoofing che inficia la risoluzione degli indirizzi in una rete LAN, il DNS spoofing falsifica la risoluzione degli URL in indirizzi IP pubblici, funzione gestita a livello globale su Internet dal sistema dei nomi di dominio (Domain Name System). Con questa tecnica gli attaccanti possono dirottare un utente verso un sito web qualsiasi sfruttando in tal caso le vulnerabilità dei server DNS. Risulta praticamente impossibile per gli utenti proteggersi da un attacco di questo tipo perché coinvolge direttamente il protocollo DNS, quindi dovrebbero essere i gestori a garantire l’aggiornamento e la protezione dei propri software in uso sui servername, secondo gli standard di sicurezza sviluppati per salvaguardare l’autenticità e l’integrità dei dati (DNSSEC – Domain Name System Security Extensions).
Elaborazione
Dopo aver intercettato il traffico dati occorre elaborarlo e se necessario decrittarlo. Anche per queste operazioni esistono varie tecniche:
- Spoofing HTTPS. Con lo spoofing HTTPS, un utente malintenzionato utilizza un dominio molto simile a quello del sito Web di destinazione. Con questa tattica, nota anche come typesquatting, viene allestito un sito HTTPS, formalmente corretto, ma con un nome di dominio molto simile a quello originale. Mentre l’ignaro utente pensa di interagire con un sito Web crittografato e legittimo, in realtà cade vittima di un attacco MITM cedendo anche le proprie informazioni a un attore malevolo.
- Dirottamento SSL. Poiché chiunque può generare un certificato SSL/TLS per qualsiasi dominio, anche un attore malevolo che voglia intercettare le connessioni verso domini visitati dalle vittime, può farlo presentando dei certificati, stabilendo una connessione con il server originale e dirottandone il traffico. In tal caso per far credere ai browser che un certificato possa essere considerato attendibile è necessario preventivamente, che l’attaccante attraverso altre tecniche, aggiunga la relativa autorità di certificazione (CA) “non affidabile” all’archivio dei certificati attendibili del client target. Il dirottamento SSL può essere anche un servizio utilizzato per scopi leciti: protezione malware, controllo del traffico delle reti, controllo parentale;
- Stripping SSL. Quando si digita un indirizzo nel browser, il client si connette prima al relativo sito HTTP non sicuro per poi rapidamente venire reindirizzato alla versione sicura HTTPS se esistente. In questo lasso di tempo, l’attaccante potrebbe forzare in ogni caso una connessione HTTP (downgrade) ed intercettare pacchetti e informazioni intelligibili con poche difficoltà. Fortunatamente oggi, sempre più siti web utilizzano l’HSTS (HTTP Strict Transport Security) ovvero una funzionalità di sicurezza che obbliga i browser a comunicare con i siti usando in modo esclusivo il protocollo HTTPS.
Come prevenire un attacco MITM
Per quanto finora esposto la migliore protezione contro il MITM risulta quindi la prevenzione. Di seguito alcuni consigli per attenuarne l’esposizione.
Consigli per i cibernauti
- Assicurarsi sempre di aprire i siti web tramite una connessione sicura SSL/TLS, verificando prima di inserire credenziali, che il certificato SSL del sito web sia aggiornato ed emesso da un’autorità di certificazione di fiducia;
- aggiornare sempre alla versione più recente i propri browser e i sistemi operativi;
- utilizzare servizi VPN o server proxy attendibili, preferibilmente versioni premium;
- aggiornare periodicamente le proprie password, usandone una diversa per ogni applicazione. Usare se possibile l’autenticazione multi fattore (MFA);
- prestare attenzione alle e-mail di phishing e malspam, potrebbero dirottare verso siti malevoli o infettare con malware i propri dispositivi.
Consigli per gli erogatori di servizi online
- Proteggere i propri siti web, attraverso certificati SSL aggiornati ed emessi da autorità di certificazione affidabili;
- offrire accessi sicuri con l’autenticazione multi fattore (MFA);
- fornire ai propri clienti delle chiare informative sulle modalità di erogazione dei servizi e sui canali di comunicazione ufficiali.