Man in the middle (tradotto in italiano “l’uomo nel mezzo”), indica quel complesso di tecniche informatiche con cui un individuo segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro.
In questo articolo si spiegherà come funziona, come riconoscere un attacco e come difendersi.
SOMMARIO
1. Tecnica “Man in the Middle“
2. Casi tipici
3. Arp cache poisoning
4. Spoofing DNS
5. Malware e “Man in the middle“
CONCLUSIONE
ALTRI CYBER CRIMES
COMMISSARIATO DI PUBBLICA SICUREZZA ONLINE
PERCHÉ AVVALERSI DI UN ESPERTO
1. Tecnica Man in the Middle
Questa tipologia di attacchi consente a un cybercriminale di intercettare il traffico tra due dispositivi e spiarne l’attività, ponendosi in mezzo ad essi.
Può essere sferrato all’interno di una rete locale o di una rete domestica Wi-Fi, su Internet, durante l’accoppiamento di due dispositivi Bluetooth e persino durante un pagamento tramite Pos e carta contacless.
Facendo un esempio è come se durante una conversazione via chat con un nostro amico, dipendente partner, un malintenzionato si frapponesse e, non solo leggesse tutto quello che stiamo scrivendo ma altresì modificasse le comunicazioni prima che arrivino ai legittimi destinatari.
2. Casi tipici
L’attacco più diffuso (MITM) è quello all’interno di una rete Wi-Fi pubblica non crittografata. Ad esempio potrebbe essere la rete degli aeroporti, dei bar o di altri esercizi commerciali.
Un malintenzionato, utilizzando uno strumento gratuito come Wireshark (presente di default su Kali Linux), può infiltrarsi nella rete e leggere tutti i pacchetti di dati scambiati.
Fortunatamente, questo tipo di attacco negli ultimi anni è diventato meno frequente, grazie al protocollo di rete HTTPS che, a differenza del precedente protocollo HTTP, è crittografato.
Generalmente, quindi, il “Man in the middle” di una trasmissione HTTPS può ottenere una manciata di dati illeggibili.
Tuttavia, il “man in the middle”, una volta inseritosi nelle comunicazioni fra le vittime potrebbe sempre costringere i loro dispositivi a usare un protocollo di rete non criptato.
3. Arp cache poisoning
Questo attacco consiste nell’associare il proprio indirizzo MAC con l’indirizzo IP di qualcun altro presente nella rete.
Se l’associazione va a buon fine, il malintenzionato prende le sembianze dell’altro utente e tutti i dati destinati alla vittima vengono trasmessi all’attaccante.
4. Spoofing DNS
Utilizzando questa tecnica il malintenzionato può deviare le richieste di accesso ad un sito, verso un secondo sito fasullo che controlla e in questo modo sia acquisire i dati personali dell’utente sia distribuire malware.
Il DNS è il servizio che traduce gli indirizzi Web digitati dagli utenti per la navigazione, che corrispondono a indirizzi IP che indentificano ogni singolo nodo (server web, computer, stampante, webcam, ecc.)
Se il malintenzionato riesce a modificare i server DNS può indirizzare gli utenti dove desidera.
L’ultimo tipo di attacco, consiste nel creare un falso Access Point (dal nome simile a quello legittimo), determinando così un ponte tra l’utente e il router della rete Wi-Fi.
Potrebbe apparire banale ma nell’esperienza quotidiana è il più diffuso ed efficacie.
Raramente, infatti, gli utenti prestano attenzione a questi elementi e, connettendosi all’Access Point fasullo creato dal malintenzionato aprono le porte dei propri dispositivi.
5. Malware e “Man in the middle“
È possibile lanciare un attacco servendosi di un malware.
In gergo tecnico questa tecnica si definisce “man in the browser” perché il malintenzionato tramite il virus infetta il software di navigazione sul Web.
Una volta compromesso il browser, l’attaccante può manipolare una pagina web mostrando qualcosa di diverso rispetto al sito originale.
Potrebbe quindi dirottare il malcapitato su siti web fake, che simulano ad esempio pagine bancarie o social media, impossessandosi delle chiavi di accesso.
Un esempio piuttosto noto ormai è il trojan SpyEye, utilizzato come keylogger per rubare le credenziali dei siti Web.
SpyEye è stato sviluppato in Russia nel 2009 ed è stato diffuso tramite estensioni per i browser Google Chrome, Firefox, Internet Explorer e Opera.
CONCLUSIONE
La miglior difesa contro gli attacchi MITM è la prudenza.
Bisogna evitare ad esempio la connessione a hot-spot pubblici poiché spesso si tratta di reti Wi-Fi con misure di sicurezza minime o addirittura senza alcuna crittografia.
Se proprio necessitiamo di connessione e non siamo in casa, meglio usare il proprio smarphone come hot-spot mobile.
Altra misura di prevenzione può la VPN, poiché indipendentemente dalle specificità, applicano una propria crittografia a tutto il traffico veicolato.
Ovviamente, la sicurezza di una VPN è proporzionale alla serietà e all’efficienza del provider che la fornisce.
Per proteggersi invece dagli attacchi MITM basati su malware, è indispensabile:
- prestare estrema attenzione ai software che si scaricano sui propri dispositivi;
- tenere sempre aggiornato il proprio antivirus;
- effettuare sempre Windows Update per l’aggiornamento del sistema operativo.
Testare i propri device periodicamente, al fine di rilevarne le criticità, è un’ulteriore accorgimento per prevenire i cyber crime, fondamentale soprattutto se dal device in questione vengono gestite transazioni professionali.
ALTRI CYBER CRIMES
Nella sezione Crime sono presenti molteplici analisi.
La sezione verrà aggiornata con ogni nuovo caso e anche tu puoi contribuire, inviando a Crypto Avvocato screenshot, link o anche solo chiedendo un parere.
Per comprendere cos’è il reato di truffa, si consiglia la lettura di apposito approfondimento.
In questo articolo sono stati raccolti alcuni consigli utili.
COMMISSARIATO DI PUBBLICA SICUREZZA ONLINE
E’ possibile segnalare attività sospette e reati informatici anche online, mediante il sito web della polizia postale.
PERCHÉ AVVALERSI DI UN ESPERTO
Le Autorità non sono pienamente coscienti della portata di questi fenomeni perché nella maggior parte dei casi le vittime non sporgono querela.
I motivi sono principalmente i seguenti:
- sfiducia nei confronti delle istituzioni;
- mancanza di fondi o volontà per farsi assistere da professionisti nella ricostruzione dell’accaduto, nella redazione della querela e nell’effettuazione di indagini private a supporto dell’attività degli inquirenti italiani ed internazionali.
E’ bene precisare, infatti, che ex art. 336 c.p.p., la querela potrebbe anche essere sporta oralmente, entro 90 gg. dal reato, presso il commissariato di polizia più vicino ma
è un atto che richiede precise formalità e ricostruire una vicenda così complessa oralmente e in mancanza di una puntuale documentazione, potrebbe non solo risultare estenuante per tutti i soggetti coinvolti ma altresì inutile.
Ciò potrebbe determinare talvolta gli ufficiali stessi a dissuadere le vittime dal sporgere querela.
L’assistenza di un professionista è consigliata altresì per l’accesso che egli può garantire al Portale Telematico del Ministero della Giustizia, per il deposito e l’interazione semplificata con le Autorità.