MAN IN THE MIDDLE – Tecnica e casi tipici

3 Giugno 2021 -

Man in the middle (tradotto in italiano “l’uomo nel mezzo”), indica quel complesso di tecniche informatiche con cui un individuo segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro.

In questo articolo si spiegherà come funziona, come riconoscere un attacco e come difendersi.

SOMMARIO

1. Tecnica “Man in the Middle

2. Casi tipici

3. Arp cache poisoning

4. Spoofing DNS

5. Malware e “Man in the middle

6. Come proteggersi dagli attacchi MITM

CONCLUSIONE

1. Tecnica Man in the Middle

Questa tipologia di attacchi consente a un cybercriminale di intercettare il traffico tra due dispositivi e spiarne l’attività, ponendosi in mezzo ad essi.

Può essere sferrato all’interno di una rete locale o di una rete domestica Wi-Fi, su Internet, durante l’accoppiamento di due dispositivi Bluetooth e persino durante un pagamento tramite Pos e carta contacless.

Facendo un esempio è come se durante una conversazione via chat con un nostro amico, dipendente partner, un malintenzionato si frapponesse e, non solo leggesse tutto quello che stiamo scrivendo ma altresì modificasse le comunicazioni prima che arrivino ai legittimi destinatari.

2. Casi tipici

L’attacco più diffuso (MITM) è quello all’interno di una rete Wi-Fi pubblica non crittografata. Ad esempio potrebbe essere la rete degli aeroporti, dei bar o di altri esercizi commerciali.

Un malintenzionato, utilizzando uno strumento gratuito come Wireshark (presente di default su Kali Linux), può infiltrarsi nella rete e leggere tutti i pacchetti di dati scambiati.

Fortunatamente, questo tipo di attacco negli ultimi anni è diventato meno frequente, grazie al protocollo di rete HTTPS che, a differenza del precedente protocollo HTTP, è crittografato.

Generalmente, quindi, il “Man in the middle” di una trasmissione HTTPS può ottenere una manciata di dati illeggibili.

Tuttavia, il “man in the middle”, una volta inseritosi nelle comunicazioni fra le vittime potrebbe sempre costringere i loro dispositivi a usare un protocollo di rete non criptato.

3. Arp cache poisoning

Questo attacco consiste nell’associare il proprio indirizzo MAC con l’indirizzo IP di qualcun altro presente nella rete.

Se l’associazione va a buon fine, il malintenzionato prende le sembianze dell’altro utente e tutti i dati destinati alla vittima vengono trasmessi all’attaccante.

4. Spoofing DNS

Utilizzando questa tecnica il malintenzionato può deviare le richieste di accesso ad un sito, verso un secondo sito fasullo che controlla e in questo modo sia acquisire i dati personali dell’utente sia distribuire malware.

Il DNS è il servizio che traduce gli indirizzi Web digitati dagli utenti per la navigazione, che corrispondono a indirizzi IP che indentificano ogni singolo nodo (server web, computer, stampante, webcam, ecc.)

Se il malintenzionato riesce a modificare i server DNS può indirizzare gli utenti dove desidera.

L’ultimo tipo di attacco, consiste nel creare un falso Access Point (dal nome simile a quello legittimo), determinando così un ponte tra l’utente e il router della rete Wi-Fi.

Potrebbe apparire banale ma nell’esperienza quotidiana è il più diffuso ed efficacie.

Raramente, infatti, gli utenti prestano attenzione a questi elementi e, connettendosi all’Access Point fasullo creato dal malintenzionato aprono le porte dei propri dispositivi.

5. Malware e “Man in the middle

È possibile lanciare un attacco servendosi di un malware.

In gergo tecnico questa tecnica si definisce “man in the browser” perché il malintenzionato tramite il virus infetta il software di navigazione sul Web.

Una volta compromesso il browser, l’attaccante può manipolare una pagina web mostrando qualcosa di diverso rispetto al sito originale.

Potrebbe quindi dirottare il malcapitato su siti web fake, che simulano ad esempio pagine bancarie o social media, impossessandosi delle chiavi di accesso.

Un esempio piuttosto noto ormai è il trojan SpyEye, utilizzato come keylogger per rubare le credenziali dei siti Web. 

SpyEye è stato sviluppato in Russia nel 2009 ed è stato diffuso tramite estensioni per i browser Google Chrome, Firefox, Internet Explorer e Opera.

6. Come proteggersi dagli attacchi MITM

La miglior difesa contro gli attacchi MITM è la prudenza.

Bisogna evitare ad esempio la connessione a hot-spot pubblici poiché spesso si tratta di reti Wi-Fi con misure di sicurezza minime o addirittura senza alcuna crittografia.

Se proprio necessitiamo di connessione e non siamo in casa, meglio usare il proprio smarphone come hot-spot mobile.

Altra misura di prevenzione può la VPN, poiché indipendentemente dalle specificità, applicano una propria crittografia a tutto il traffico veicolato.

Ovviamente, la sicurezza di una VPN è proporzionale alla serietà e all’efficienza del provider che la fornisce.

Per proteggersi invece dagli attacchi MITM basati su malware, è indispensabile:

  • prestare estrema attenzione ai software che si scaricano sui propri dispositivi;
  • tenere sempre aggiornato il proprio antivirus;
  • effettuare sempre Windows Update per l’aggiornamento del sistema operativo.

CONCLUSIONE

Testare i propri device periodicamente, al fine di rilevarne le criticità, è un’ulteriore accorgimento per prevenire i cyber crime, fondamentale soprattutto se dal device in questione vengono gestite transazioni professionali.

Se necessiti di assistenza o vuoi far parte del network

Contattaci

Lascia un commento