“Man in the middle” significa letteralmente uomo nel mezzo. Ogni volta che un cybercriminale riesce a intromettersi in una comunicazione tra due soggetti senza che essi se ne rendano conto, parliamo di attacco man in the middle.

Tramite questa minaccia informatica che permette all’hacker di intertecettare e manipolare il traffico internet che l’utente crede privato. Più nello specifico, nel caso di un attacco man-in-the-middle, l’attaccante si posiziona letteralmente nel mezzo della comunicazione tra due soggetti che stanno “parlando” (a livello rete) tra di loro.

In questo modo l’attaccante riesce non solo a intercettare i messaggi inviati e ricevuti, ma anche a modificarli o fingersi di essere uno dei due soggetti della comunicazione.

Man in the middle

Attacchi MITM: ecco i casi più comuni

Il tipo di attacco MITM più diffuso è quello all’interno di una rete Wi-Fi pubblica non crittografata, come ad esempio quelle che troviamo degli aeroporti, oppure all’interno di esercizi commerciali. Un utente malintenzionato, utilizzando uno strumento gratuito come Wireshark, o altri software con funzionalità di sniffer di rete, può infiltrarsi nella rete, registrare e leggere tutti i pacchetti di dati scambiati a livello rete e cercare elementi come i cookie di sessione, che potrebbe poi utilizzare per effettuare un autenticazione spacciandosi per l’utente a cui il cookie apparteneva. 

In alternativa gli attaccanti possono creare un access point fake wifi (chiamato “evil twin”) che simula un legittimo access point, al fine di ingannare gli utenti ed attrarre le loro connessioni.

evil twin attack

L’insieme delle tecniche di attacco informatico di tipo Man in the middle, vengono spesso abbreviate come MITM o MIM e comprendono molti tipi di attacchi diverse tipologie di attacco. I più diffusi e pericolosi sono:

L’attacco MITM è molto efficace nel momento in cui si utilizza il protocollo HTTP. La debolezza principale del protocollo HTTP consiste nel far transitare tutto il traffico di rete relativo a quella comunicazione in chiaro;  questo permette agli attccanti di catturare i cookie di una sessione o leggere gli header http.

L’attacco MITM può essere fatto anche su connessioni cifrate HTTPS, con l’accorgimento di stabilire 2 sessioni https indipendenti, una per ogni connessione TCP. In questo scenario Il browser configura una connessione SSL con l’attaccante, e l’attaccante stabilisce una connessione SSL con il web server. Se l’attaccante è in possesso di un certificato digitale valido, durante questo tipo di attacco non verranno date evidenze di sicurezza all’utente all’interno del browser.

In tutti questi casi, il criminale utilizza diverse strategie e software per intercettare, alterare e ritrasmettere la comunicazione tra due parti che credono di comunicare tra loro.

Altre tipologie di attacco Man in the middle

Esistono diverse tipologie di attacco Man in the middle, ma le più significative ed utilizzano risultano essere le seguenti:

Attacco Man in the browser

L’attacco man in the browser risulta essere uno tra quelli più pericolosi e difficili da riconoscere, poichè vengono attivati a livello di pc client, prima ancora che la comunicazione arrivi al Web Server.

In questo tipo di attacco, il malware deployato sul PC Client dell’attacco, prende il controllo di alcune funzionalità e comportamenti del browser, in modo da modificare il traffico di rete e relativa comunicazione.

Tipico scenario di implementazione di questo attacco, quello di un hacker che potrebbe quindi intercettare le informazioni inviate al web server dell’home-banking dell’utente e modificare il conto di destinazione di un bonifico.

DNS Cache Poisoning

Il DNS cache poisoning, o “avvelenamento della cache DNS”, è un tipo di attacco man in the middle che si prefigge lo scopo di inserire informazioni false all’interno della cache DNS, in modo che le query restituiscano una risposta errata e gli utenti vengano indirizzati ai siti web diversi da quelli reali. Il DNS cache poisoning è anche noto come “DNS spoofing”. 

Dns poisoning

Spoofing ARP

Un altro tipo di avvelenamento simile al precedente è l’ARP spoofing. In questo caso, l’attaccante si inserisce in una rete locale e fa credere ai dispositivi che comunicano tra loro di essere una delle due parti. Per farlo, inietta pacchetti ARP (Address Resolution Protocol) fittizzi, che il computer dell’utente utilizzerà per stabilire chi è…ad esempio, potrebbe essere il default gateway, ovvero il router al quale viene inviato il traffico destinato a Internet, rendendo visibili i dati dell’utente all’attaccante.

Spoofing IP

L’attacco di tipo IP Spoofing risulta essere l’attacco man in the middle per eccellenza. In modo simile al caso precedente, un hacker può introdursi in una rete attraverso un semplice sniffer e spiare l’invio di pacchetti TCP/IP (i dati di Internet). Sfruttando lo spoofing IP, un hacker può inserirsi in una rete locale, fingendo di avere lo stesso indirizzo IP di uno dei dispositivi autorizzati all’accesso. In questo modo, è in grado di intercettare tutti i dati che vengono inviati o ricevuti all’interno della rete.

Come proteggersi da un attacco Man in the Middle

È molto difficile distinguere un indirizzo IP genuino da uno falso: l’unico modo per proteggersi da questo tipo di attacco è quello di impedire che possa essere messo in atto, tramite qualche accorgimento, sia di tipo tecnico sia con maggiore consapevolezza rispetto alle tematiche legate alla sicurezza informatica.

WPA2/WPA3 Encryption sugli Access Point

Una forte autenticazione a livello Access Point impedisce agli utenti indesiderati di unirsi alla tua rete semplicemente stando nelle vicinanze. Un meccanismo di crittografia debole può consentire a un utente malintenzionato di penetrare con la forza bruta in una rete e iniziare un attacco man-in-the-middle. Più forte è l’implementazione della crittografia, più sicura sarà la tua rete.

Protezione delle credenziali sul router con password complesse 

È essenziale assicurarsi che le credenziali di default di amministrazione sul router siano state cambiate. Se un utente malintenzionato trova le credenziali di accesso del tuo router, può cambiare i tuoi server DNS con i suoi server dannosi.

Virtual Private Network

Le VPN possono essere utilizzate per creare un ambiente sicuro per le informazioni sensibili all’interno di una rete locale. Usano la crittografia basata su chiave per creare una sottorete per la comunicazione sicura. In questo modo, anche se un utente malintenzionato dovesse accedere a una rete condivisa, non sarà in grado di decifrare il traffico nella VPN.

Forzare il protocollo HTTPS

Il protocollo HTTPS dovrebbe sempre essere utilizzato per le comunicazioni WEB, tramite  lo scambio di chiavi pubbliche e privato. Ciò impedisce a un utente malintenzionato di utilizzare i dati che potrebbe rilevare. I siti web dovrebbero utilizzare solo HTTPS e non fornire alternative HTTP. Gli utenti possono installare alcuni plug-in del browser per applicare sempre l’utilizzo di HTTPS sulle richieste.

Attacco Informatico Man in the Middle

Vuoi approfondire le tematiche inerenti questo ed altri tipi di attacco informatico? Iscriviti al nostro corsi di formazione in ambito Ethical Hacking sulla sicurezza informatica.

Apri la chat
1
Possiamo aiutarti?
Ciao 👋
Possiamo aiutarti?
X