La tecnica Man-in-the-Middle (MitM) è un tipo di attacco informatico in cui un malintenzionato si inserisce clandestinamente in una comunicazione tra due parti (es. un utente e un sito internet) con l'obiettivo di intercettare, modificare o manipolare i dati scambiati. Questo tipo di attacco sfrutta vulnerabilità nei protocolli di rete o nella sicurezza dei dispositivi coinvolti.
Ma come funziona l'attacco MitM ? L'attaccante si frappone tra due parti che stanno comunicando, ingannandole facendole credere che stiano parlando direttamente l'una con l'altra. Questo può essere fatto in vari modi, ad esempio: inviando falsi messaggi al computer vittima affinché pensi che sia collegato ad un sito ma in realtà è collegato direttamente al computer attaccante (utilizza la tecnica ARP e gli indirizzi MAC, che sono indirizzi univoci che identificano universalmente i computer a livello globale) dirottando così il traffico verso un sito ad una macchina attaccante, che può vederli, modificarli, o semplicemente farli transitare raccogliendo informazioni per un successivo attacco phishing.
Un'altra tecnica è intercettare i pacchetti dati e sostituire il DNS (il servizio internet che traduce gli indirizzi numerici in nomi per esempio: da 172.217.12.100 in www.google.com), inserendo un DNS che dirotta in siti malevoli, dove l'utente ignaro inserisce i suoi dati personali che vengono trafugati (login, password, informazioni personali, etc...);
Oppure, ancora, l'attaccante crea una rete Wi-Fi malevola (ad esempio un hotspot pubblico non protetto) e intercetta le comunicazioni degli utenti che si connettono, utilizzando un tecnica che ritengo, particolarmente interessante: la tecnnica del SSL stripping. L'SSL stripping è una tecnica di attacco informatico utilizzata per degradare una connessione sicura HTTPS (basata su SSL/TLS) a una connessione non sicura HTTP, con l'obiettivo di intercettare e leggere i dati trasmessi tra un utente e un server.
Ma in che modo ?
Quando un utente visita un sito web, il browser tenta di stabilire una connessione sicura utilizzando HTTPS che garantisce che i dati siano cifrati, impedendo a eventuali malintenzionati di leggere o modificare il contenuto dello scambio di informazioni.
L'attaccante si inserisce nella comunicazione tra il browser dell'utente e il sito, intercettando la richiesta HTTPS dell'utente e la modifica da HTTPS a HTTP. Cioè, quando l'utente richiede una pagina HTTPS (es. https://example.com), l'attaccante la inoltra al sito come una normale richiesta HTTPS. Il sito risponde con la pagina HTTPS, ma l'attaccante la riceve prima di inviarla all'utente e la modifica da HTTPS a HTTP (protocollo non cifrato).
Poiché la connessione è ora in HTTP (non cifrato), i dati sensibili come credenziali di accesso, numeri di carte di credito e altre informazioni private possono essere intercettati dall'attaccante in chiaro.
In che cosa può essere utilizzato ? Soprattutto per attacchi alle credenziali, cioè lo scopo è l'intercettazione di login o dati bancari, oppure per intercettare email contenenti informazioni riservate per poi organizzare una campagna phishing mirata.
Come difendersi da un MitM con SSL stripping ?
Ovviamente avere la versione del browser più aggiornata installata sul proprio computer, ma in questo caso, assicurarsi che i siti web utilizzino HTTPS (verifica del lucchetto nella barra degli URL), ma soprattutto evitare reti Wi-Fi non protette per trasmettere dati sensibili o accessi ad account bancari (eventualmente in questi casi usare una VPN per cifrare il traffico).... ma, soprattutto, prestare attenzione agli avvisi del browser: se il browser segnala che una connessione non è sicura, è fondamentale non procedere a inserire informazioni sensibili.
Comments