Come evitare i pericolosi attacchi “Man in The Middle”

Il cosiddetto attacco informatico “Man In The Middle” è una delle insidie più subdole quando si parla di sicurezza informatica, in quanto è molto difficile accorgersi di esserne vittime e proteggersi non è così immediato come in altri tipi di rischi simili.

Quando si maneggiano strumenti delicati come i wallet crittografici per gestire le nostre criptovalute o beni digitali, la sicurezza informatica dovrebbe sempre essere la prima cosa di cui preoccuparsi, alla luce dell’enorme numero di truffe e attacchi che quotidianamente alleggeriscono le tasche degli utenti meno esperti o ingenui.

In genere, in un’applicazione web sono coinvolti due tipi di attori: il client e il server. Il canale di comunicazione è la terza entità e, nella maggior parte dei casi, viene completamente trascurato. Questo canale può essere una connessione wireless o via cavo, a seconda delle circostanze. La richiesta potrebbe passare attraverso uno o più server intermedi prima di raggiungere la destinazione finale nel modo più efficiente in termini di tempo e risorse. Questi sono in genere chiamati server proxy.

Cosa significa Attacco “Man in the Middle” e come funziona

Il termine “Man in the middle” si riferisce alla situazione in cui un proxy non autorizzato è presente nella rete ed è in grado di intercettare e manipolare le richieste e le risposte. Quando ciò si verifica, si dice che la rete è attaccata da un man in the middle attack. Il fatto che questo proxy disonesto venga spesso interpretato dall’altro endpoint di una conversazione come un endpoint valido è il punto intrigante. Funziona cioè come server per il client e come client per il server.

Prendiamo, ad esempio, lo scenario in cui si effettua una transazione con la propria banca mentre si è connessi a una rete Wi-Fi. Inoltre, un avversario è connesso alla stessa rete wireless. Le azioni intraprese dall’attaccante sono le seguenti:

• L’aggressore trasmette in tutta la rete pacchetti ARP anomali. Questi pacchetti forniscono una mappatura tra l’indirizzo MAC del dispositivo dell’aggressore e l’indirizzo IP del punto di accesso.
• Ogni dispositivo connesso alla rete memorizza nella propria cache locale la voce trovata nei pacchetti rogue.
• Il dispositivo utilizza ARP per indirizzare i pacchetti destinati al server Web della banca verso l’access point, che funge da gateway predefinito della rete.
• I pacchetti vengono quindi trasmessi al computer utilizzato dall’aggressore.
• Le richieste contenute nei pacchetti possono essere lette e modificate dagli aggressori prima dell’invio dei pacchetti.

In questo modo, l’aggressore si troverà comodamente tra voi e il server della vostra banca.

Per difenderti adeguatamente dagli attacchi normativi e dai disastri di mercato, se hai esposizioni in criptovalute e DeFi leggi subito il nostro approfondimento per navigare senza paura durante la tempesta:
Sta arrivando l’Apocalisse DeFi e non ho niente da mettermi

L’attacco man in the middle non è il solo a usare queste vulnerabilità

L’aggressore può vedere tutti i dati sensibili che trasmettete al vostro server, compresa la vostra password di accesso. Questo include tutti i dati che trasmettete. Per condurre un attacco Man in the middle (MITM), un metodo che può essere utilizzato è noto come ARP cache poisoning. Altri metodi includono:

• Spoofing DNS.
• Spoofing di un indirizzo IP.
• L’installazione di un punto d’accesso Wi-Fi non autorizzato.
• Spoofing SSL e così via.

L’uso di SSL può eliminare la possibilità che questi attacchi siano efficaci. Anche se l’aggressore ha accesso ai dati, non potrà farci molto perché sono criptati e solo gli endpoint validi hanno la chiave per decodificarli. Ciò significa che l’aggressore non sarà in grado di estrarre molto valore dai dati. (L’SSL è vantaggioso solo se è impostato correttamente; tuttavia, esistono tecniche per eludere questo meccanismo di protezione, ma è piuttosto difficile realizzarle).

In ogni caso, un attaccante può comunque arrecare un danno significativo se l’applicazione online con cui l’utente sta comunicando non fa uso di una misura di sicurezza nota come nonce. L’avversario ha la possibilità di registrare la richiesta crittografata per tutta la durata della sessione e quindi di reinviare meticolosamente le richieste necessarie per l’accesso. L’aggressore sarà in grado di accedere al vostro account utilizzando questo metodo senza dover conoscere la vostra password. L’uso del nonce protegge da questi tipi di “attacchi replay”. Il nonce è un numero unico che viene trasmesso dal server al client prima del processo di login. Viene inserito insieme al login e alla password e, una volta utilizzato una sola volta, viene reso inutile.

Cosa c’è alla base di un attacco “Man in the Middle

Per comprendere a pieno il funzionamento di questo tipo di attacco informatico, prima di andare a vedere come proteggersi nel modo migliore possibile, può essere utile chiarire alcuni concetti basilari:

• Per ottenere informazioni private, gli aggressori ascoltano il dialogo che si svolge tra il client e il server.
• Gli scambi di dati che avvengono durante questo attacco passano inosservati all’obiettivo dell’attacco.
• L’attacco viene tentato dall’aggressore con una serie di metodi ingannevoli, come la fornitura di allegati o link o la creazione di siti web replica.

Qual è la differenza tra un attacco Man in the Middle e uno che coinvolge Trojan per l’accesso remoto

Questi due tipi di attacchi informatici, un attacco Man in the middle e uno che coinvolge l’utilizzo di trojan per l’accesso remoto, possono sembrare molto simili, ma hanno una differenza sostanziale:

• Attacco con Man in the Middle
  L’attacco Man in the middle è un tipo di attacco informatico in cui l’aggressore svolge il proprio compito trovandosi nel mezzo del conflitto tra le due parti. È possibile che svolga il compito di modificare la comunicazione in corso tra le due parti, dando a entrambe l’impressione di conversare all’interno di una rete protetta.
  Ascoltare altre persone facendo credere loro che stanno interagendo tra loro è un esempio di attacco man in the middle. Le persone ascoltate non sono consapevoli del fatto che l’intera discussione è controllata dalla persona che sta effettuando l’attacco man in the middle, ma sono indotte a credere che stiano parlando tra loro.
• Trojan per l’accesso remoto
  I Trojan per l’accesso remoto vengono scaricati in un dispositivo quando la vittima fa clic su un allegato in un’e-mail o attraverso un gioco.
  Questi allegati possono provenire da diverse fonti. L’aggressore ha la possibilità di prendere il controllo del dispositivo, di osservarne le azioni e persino di ottenere l’accesso remoto. Questo RAT si rende impercettibile sul dispositivo e i suoi componenti rimangono nel dispositivo per un periodo di tempo più lungo al fine di ottenere informazioni che potrebbero essere segrete.

Per una guida dettagliata sull’Impermanent Loss, come calcolarlo in anticipo e creare strategie di protezione, corri a leggere la nostra guida:
La guida definitiva all’impermanent loss: non toccare la DeFi prima di aver letto

Quanto è diffuso l’attacco Man in the middle

Questo tipo di attacco, noto come “Man in the Middle”, non è comune da molto tempo. Questo tipo di attacco viene effettuato di solito quando l’autore del reato ha messo gli occhi su una particolare vittima. Il phishing, il malware e il ransomware non sono la stessa cosa, né lo sono altri tipi di attacchi informatici.

Attacchi man in the middle: alcuni casi studio

Passiamo ora in rassegna tre casi studio nei quali si è verificato un attacco man in the middle da manuale:

• Caso di studio 1
  In seguito alla violazione dei dati, la società di credit scoring Equifax ha ritirato le sue applicazioni dagli app store di Google e Apple. È stato scoperto che l’applicazione non utilizzava HTTPS, il che ha reso possibile per gli avversari ottenere tutti i dettagli ogni volta che un utente accedeva al proprio account.
• Caso di studio numero 2
  Un aggressore è stato in grado di acquisire un gran numero di certificati dopo aver ottenuto l’accesso a un’organizzazione di registrazione che era stata compromessa. Grazie a questi certificati, l’aggressore è stato in grado di impersonare un sito web legittimo per rubare i dati all’utente; in questo caso particolare, il sito web legittimo è stato replicato.
• Terzo caso di studio
  L’autore del reato ha preso di mira specificamente una banca. Viene inviata un’e-mail al consumatore per informarlo che potrebbe essere stato effettuato un tentativo di accesso al suo conto bancario e che l’aggressore ha bisogno dei dati del cliente per verificare la situazione. Il tentativo di phishing è stato effettuato con il consumatore utilizzando l’e mail che gli è stata recapitata. Se la vittima segue le istruzioni contenute nell’e-mail e clicca sul link, viene condotta su un sito web non legittimo. Il falso sito web darà l’impressione di essere quello vero. Dopo che la vittima avrà inserito i propri dati, il sito web la riporterà automaticamente al punto di partenza.Ora l’aggressore ha accesso all’account della vittima.

Quali sono i Vantaggi di un attacco informatico avanzato tramite il man in the middle

Quali sono i vantaggi principali nell’utilizzo di questa tecnica di attacco infomatico?

• L’attacco Man in the Middle è un metodo che l’aggressore può utilizzare se l’utente si connette a una rete Wi-Fi pubblica.
• Se la connessione dell’utente è stata intercettata dall’aggressore, l’utente può vedere che alcuni aggiornamenti software fasulli vengono visualizzati come pop-up sullo schermo.

Quali sono gli Svantaggi di un attacco man in the middle

Quando la vittima accede a una rete Wi-Fi pubblica o clicca sul link o sull’allegato del messaggio, è vulnerabile a questo attacco. Se la vittima non accede ad alcuna rete Wi-Fi pubblica o non clicca su alcun URL anonimo, l’attacco non avrà effetto. Pertanto, la sensibilizzazione può fermare questo attacco.
Gli utenti hanno la responsabilità di essere consapevoli di:

• Aprire la rete Wi-Fi pubblica.
• Non connettersi alla rete Wi-Fi se il nome della rete sembra strano o non ha senso.
  Prevenzione

Come possiamo difenderci al meglio dall’attacco Man in the Middle (MITM)

È possibile proteggersi dall’attacco Man in the Middle (MITM) e da altri simili adottando semplici misure preventive.È sufficiente:

• Collegarsi sempre a siti web sensibili utilizzando reti e dispositivi di cui si sa che ci si può fidare.
• È meglio evitare di connettersi a reti Wi-Fi aperte, quando possibile.
• Mantenere la sicurezza della rete contro gli accessi non autorizzati dall’esterno.
• Nel caso in cui siate costretti a utilizzare un computer in un luogo pubblico, dovreste verificare che il browser non includa certificati dannosi cercandoli:
  • Controllare anche il file con gli host.
  • Eseguite un traceroute verso il sito web che desiderate vedere ogni volta che vi collegate a una rete pubblica o utilizzate un computer pubblico.

In questo modo è possibile ispezionare il percorso dei pacchetti per individuare eventuali anomalie. Ad esempio, i pacchetti destinati a un indirizzo IP diverso dall’indirizzo IP il cui ultimo byte ha il valore 1 (che è l’indirizzo IP del gateway).

Conclusioni

Abbiamo visto come sia facile cadere vittima di qualche malintenzionato che voglia intercettare i nostri dati riservati che inviamo e riceviamo dalla rete. Gli attacchi man in the middle non sono molto frequenti, ma hanno un grado di pericolosità molto elevato in quanto è difficile rendersi conto in modo solerte di esserne caduti vittime e prendere quindi le contromisure del caso.

Seguire i pochi accorgimenti riportati nell’ultima sezione di questo articolo possono sicuramente ridurre al minimo il rischio che qualcuno si frapponga fra il server e il nostro dispositivo. Non è certo una soluzione sicura al cento per cento, ma è un passo avanti del tutto significativo per grosso modo tutti gli utenti comuni che utilizzano la rete.