Che cos'è un attacco man-in-the-middle?
"Man-in-the-middle" è un termine generico che indica un attacco informatico durante il quale qualcuno si intromette tra te e le attività che svolgi online: ad esempio, tra te e il sito di online banking, tra te e una chat con tua madre, tra le tue email di lavoro e qualsiasi mittente o destinatario, tra te e la casella in cui immetti i dettagli di un pagamento e così via.
In un attacco man-in-the-middle gli hacker si frappongono tra te e il tuo sito di online banking, una chat con tua madre, le email di lavoro, i dettagli di un pagamento...
Immagina se il postino desse un'occhiata alle tue lettere prima di consegnartele, si servisse della nuova carta di credito che ti è stata spedita per posta, modificasse alcune frasi della lettera che hai scritto a una ex o condividesse le tue informazioni più riservate con il vicino disposto a offrire di più...
Ecco. Un attacco man-in-the-middle (d'ora in poi abbreviato in MITM) funziona proprio così. Solo che tutto questo avviene online. Gli attacchi MITM permettono agli hacker di intercettare, inviare e ricevere dati da e verso il tuo dispositivo senza essere scoperti fino a transazione avvenuta.
Obiettivi comuni degli attacchi MITM (denaro, denaro e ancora denaro)
Gli obiettivi più comuni degli attacchi MITM sono:
Com'è ovvio, i criminali seguono il denaro.
Tipi di attacco man-in-the-middle
Dirottamento di email (come perdere 500.000 euro con un solo messaggio)
Se l'idea di qualcuno capace di intercettare le tue email o addirittura di inviare email dal tuo account ti sembra fantascientifica, devi assolutamente conoscere i coniugi Lupton.
I Lupton sono una coppia britannica che a un certo punto ha deciso di vendere il proprio appartamento. Al momento di concludere la vendita, l'avvocato ha inviato loro un'email con la richiesta di fornire il numero di conto bancario su cui l'acquirente avrebbe dovuto eseguire il bonifico. I Lupton hanno subito risposto con piacere.
I due non potevano sapere infatti che una banda di criminali informatici aveva letto il messaggio dell'avvocato e anche la loro risposta. Subito dopo, i malviventi hanno scritto all'avvocato dall'account email dei Lupton pregandolo di ignorare il numero di conto appena fornito e di trasferire invece il denaro su un altro conto. È così che i criminali sono riusciti a rubare 333.000 sterline (quasi 380.000 euro) a Paul e Ann Lupton.
I Lupton non sono stati presi di mira per caso. Gli strumenti di hacking possono analizzare in massa email non protette per individuare combinazioni di parole interessanti
Forse stai pensando che è una vera sfortuna che qualcuno stesse spiando le comunicazioni email dei Lupton proprio in quel momento e che le probabilità che si verifichi una congiuntura così sfavorevole devono essere infinitesimali.
No. Non è così che funziona.
I Lupton non sono stati presi di mira per puro caso, né si è trattato di un attacco di natura personale: gli strumenti di hacking oggi permettono ai criminali di analizzare in massa comunicazioni email non protette alla ricerca di determinate combinazioni di parole, finché non trovano quello che cercano. Come indica l'esempio dei Lupton, può succedere a chiunque.
Attacchi MITM tramite Wi-Fi (oh, no!)
Lo spionaggio sulle reti Wi-Fi è un problema enorme. Per condurre un attacco man-in-the-middle tramite Wi-Fi, in genere gli hacker sfruttano una rete contraffatta o una tecnica chiamata Evil Twin (questo termine significa "gemello malvagio" e gli appassionati di soap non avranno difficoltà a capire di cosa si tratta).
-
Le reti contraffatte sono semplicemente reti Wi-Fi pubbliche configurate dagli hacker con nomi invitanti, come "Wi-Fi gratis" o "Sembra la rete Wi-Fi di Starbucks ma non lo è".
-
Si parla invece di attacco Evil Twin quando una rete Wi-Fi pubblica viene configurata dagli hacker in modo da simulare in tutto e per tutto una rete legittima usata in precedenza dalla malcapitata vittima. In presenza di una rete di questo tipo, i dispositivi possono essere indotti a connettersi automaticamente, poiché spesso sono progettati per semplificarci la vita evitandoci di dover immettere la password a ogni accesso.
In entrambi i casi, queste connessioni sono sotto il completo controllo degli hacker, che avranno completa visibilità anche su tutte le tue attività, se avrai la sfortuna di connetterti a una di queste reti false, e potranno sottrarti facilmente dati di accesso, password dettagli di pagamenti e altre importanti informazioni personali.
Un gemello malvagio può essere in tutto e per tutto identico alla controparte legittima, ad esempio la rete Wi-Fi dell'hotel in cui alloggi, del bar che frequenti abitualmente o dell'aeroporto in cui fai scalo durante un viaggio
"Come posso capire se la rete Wi-Fi gratuita che sto usando è falsa o autentica? Come posso proteggermi?", potresti chiederti. Non disperare, non è così difficile. Ci arriveremo tra un minuto.
Prima, dobbiamo parlare di...
Dirottamento dei cookie di sessione (e non si tratta dei deliziosi cookie al cioccolato che piacciono tanto ai bambini)
Un altro tipo di attacco MITM avviene quando i criminali si impadroniscono dei frammenti di codice generati dal tuo browser per connettersi a siti Web diversi. In questo caso si parla di dirottamento dei cookie.
Questi frammenti di codice, o cookie di sessione, possono contenere migliaia di informazioni personali di importanza critica: nomi utente, password, moduli precompilati, attività online e persino il tuo indirizzo fisico. Una volta in possesso di tutte queste informazioni, un hacker potrà utilizzarle in un numero praticamente infinito di modi (nessuno dei quali a scopo di bene), come spacciarsi per te online, accedere a dati finanziari, organizzare frodi e furti sfruttando la tua identità e così via.
Attacchi man-in-the-browser
Potresti credere che quella che stai effettuando sia una normale transazione, nel solito sito di online banking... ma in realtà la schermata che stai visualizzando è una sorta di paravento predisposto per ingannarti mentre gli hacker svuotano il tuo conto
Man-in-the-browser. MITB. MIB. Ecco di cosa si tratta: un trojan infetta il tuo dispositivo, permettendo agli hacker di intromettersi nelle tue transazioni online (email, pagamenti, operazioni bancarie e attività simili) e di manometterle in base ai loro scopi, senza che tu ti accorga di nulla... perché quello che vedi sullo schermo è ciò che i criminali vogliono che tu veda.
Potresti credere che quella che stai effettuando sia una normale operazione di online banking perché stai visualizzando esattamente la solita schermata, con gli importi di denaro che ti aspetti... ma in realtà è una sorta di paravento predisposto per ingannarti mentre la banca riceve richieste dagli hacker che, fingendo di essere, trasferiscono denaro dal tuo conto senza che tu ti accorga di nulla. Quando ti renderai conto dell'accaduto, sarà troppo tardi.
Poiché questi trojan MITB generalmente si introducono nel tuo computer tramite phishing, non insisteremo mai abbastanza sull'importanza di non aprire le email sospette e sulla necessità di adottare le dovute precauzioni durante la navigazione online.
Come funziona un attacco man-in-the-middle?
Un attacco MITM è costituito da due fasi:
Fase 1: intercettazione
Il primo imperativo per chi compie un attacco man-in-the-middle è intercettare il tuo traffico Internet prima che raggiunga la destinazione. Esistono alcuni metodi a questo scopo:
-
Spoofing IP: come una banda di ladri applica targhe finte sull'auto utilizzata per la fuga, con lo spoofing degli indirizzi IP (Internet Protocol) gli hacker falsificano la vera origine dei dati che inviano al tuo computer camuffandola come legittima e attendibile. I dati vengono trasmessi online in pacchetti di dati di piccole dimensioni, ciascuno con un tag che lo identifica. Gli hacker che usano questa tecnica sostituiscono il tag con uno riconosciuto dal tuo computer o smartphone come sito Web o servizio legittimo. Il risultato è che il dispositivo finisce per comunicare con un impostore mascherato come se fosse l'origine autentica dei dati.
-
Spoofing ARP: detto anche infezione ARP o routing dannoso di messaggi ARP, questo metodo MITM permette agli hacker di inviare un falso messaggio ARP (non ha un bel suono, ma sta per Address Resolution Protocol) su una rete LAN (non è una compagnia aerea, ma sta per Local Area Network), in modo che l'indirizzo MAC (niente a che vedere con Apple, è l'acronimo di Media Access Control) dell'hacker possa essere collegato al tuo indirizzo IP per ricevere tutti i dati a te destinati. Sei stufo di leggere acronimi?
-
Spoofing DNS: mi dispiace, eccone un altro. DNS sta per Domain Name System ed è un sistema per la conversione dei nomi di dominio Internet da lunghi e impronunciabili indirizzi IP numerici a indirizzi intuitivi e facilmente memorizzabili, come https://omfgdogs.com (coraggio, fai clic, è molto divertente) e viceversa. Per accelerare le attività online, i server "ricordano" queste conversioni e le salvano in una cache. Durante un attacco di spoofing DNS o un'infezione della cache DNS (nome diverso, stesso concetto) gli hacker accedono a questa cache e modificano le conversioni, in modo da reindirizzarti a un sito finto invece che a quello autentico che intendevi visitare.
Fase 2: decriptaggio
Dopo aver intercettato il tuo traffico Web, gli hacker devono decriptarlo. Ecco alcuni dei metodi di decriptaggio più comunemente utilizzati per gli attacchi MITM:
-
Spoofing HTTPS: in passato, il prefisso HTTPS (HTTP Secure) indicava che la connessione un indirizzo Internet era sicura. HTTPS è una chiave di certificato del sito Web che indica che le transazioni nel sito sono criptate e di conseguenza i dati sono al sicuro. Tuttavia, in un attacco MITM HTTPS un hacker installa un certificato di sicurezza root contraffatto, che viene identificato dal browser come attendibile. Poiché lo ritiene attendibile, il browser fornisce al certificato la chiave di criptaggio necessaria per decifrare i dati da te inviati. A questo punto, l'hacker è in grado di riceverli, decriptarli, leggerli, criptarli di nuovo tutti e inviarli a destinazione senza che tu o il sito finale vi rendiate conto che la comunicazione è stata intercettata. Insidioso e pericoloso. È così che le tue email o chat online possono essere lette mentre invii e ricevi messaggi.
-
BEAST SSL: un altro acronimo! "BEAST" sta per Browser Exploit Against SSL/TLS. SSL è il protocollo Secure Sockets Layer (corrisponde a "Secure" negli indirizzi HTTPS). Questo significa che gli hacker possono sfruttare i punti deboli nel CBC (Cipher Block Chaining, mi dispiace, vorrei poter dire che questo è l'ultimo) per catturare e decriptare la trasmissione dei dati tra il browser e un server Web. In poche parole, si tratta di un altro metodo illegittimo per decriptare il nostro traffico Web ed è dannoso per tutti noi utenti di Internet.
-
Dirottamento SSL: vediamo come funziona un attacco man-in-the-middle SSL. Normalmente, quando ti connetti a un sito Web il browser in primo luogo si connette alla versione HTTP (non sicura) del sito. Il server HTTP ti reindirizza alla versione HTTPS (sicura) del sito e il nuovo server sicuro fornisce al tuo browser un certificato di sicurezza. Ed ecco che è stata stabilita la connessione. Il dirottamento SSL avviene appena prima della connessione al server sicuro. Gli hacker dirottano tutto il tuo traffico nei propri computer, in modo da ricevere per primi i tuoi dati (email, password, informazioni sui pagamenti e così via).
-
SSL Strip: questi attacchi consistono nel downgrade di un sito Web dalla versione HTTPS (sicura) alla versione HTTP (non sicura). Per mezzo di un server proxy o di uno dei trucchi di spoofing ARP citati sopra, un hacker riesce a frapporsi tra te e una connessione sicura, presentandotene una versione non sicura (HTTP). In questo modo, tutti i tuoi dati, come password, pagamenti e così via, raggiungono l'hacker in normale formato testo non criptato. Ovviamente senza che tu te ne accorga.
Prevenzione degli attacchi man-in-the-middle
Benché gli attacchi MITM siano potenzialmente pericolosissimi, puoi fare molto per prevenirli riducendo al minimo i rischi e tenendo al sicuro dati, denaro e... dignità.
Utilizza sempre una VPN
In parole semplici, una VPN è un programma o un'app che nasconde, cripta e maschera ogni aspetto della tua vita online, come email, chat, ricerche, pagamenti e addirittura la tua posizione. Le VPN ti aiutano a prevenire gli attacchi MITM e a proteggere qualsiasi rete Wi-Fi criptando tutto il tuo traffico Internet e trasformandolo in linguaggio incomprensibile e inaccessibile per chiunque tenti di spiarti.
Sono disponibili diverse VPN, ma molte sono inutili: alcune sono troppo lente o non proteggono accuratamente i dati, altre non sono private come lasciano supporre. Fortunatamente, la tua società preferita del settore della protezione online ti offre una VPN eccezionale di cui puoi fidarti e che puoi anche provare gratuitamente.
Ricorda i suggerimenti essenziali per la sicurezza dei siti Web
Qui trovi un'ottima guida rapida su come scoprire se un sito Web è sicuro. Questi suggerimenti non richiedono particolari competenze tecniche, ma possono risparmiarti qualche grave problema, sia online che offline
Procurati un buon antivirus
Poiché gli attacchi MITM utilizzano spesso malware per i propri scopi, devi assolutamente procurarti un software antivirus efficace e affidabile
Se il tuo budget è limitato, inizia con questo eccellente antivirus gratuito. Ma se ti serve qualcosa per scongiurare gli attacchi man-in-the-middle, puoi anche provare gratis la nostra protezione premium, che include la funzionalità Protezione Sito Falso, progettata appositamente per impedire il reindirizzamento a siti Web contraffatti. Sul mercato sono disponibili soluzioni di sicurezza per tutti i budget. Niente scuse.
Come prevenire gli attacchi man-in-the-middle HTTPS
Ricordi che prima parlavamo di SSL? È il tipo di attacco MITM che trasforma i certificati di sicurezza HTTPS in carta straccia, eseguendo il downgrade dei siti alla meno sicura versione HTTP senza che tu te ne renda conto.
La soluzione è HSTS (HTTP Strict Transport Security), un criterio di protezione Web che costringe browser e siti a utilizzare connessioni HTTPS sicure in qualsiasi circostanza. Connessione HTTP? Assolutamente no. Oltre a gestire gli attacchi SSL Strip, HSTS è utile anche per i casi di furto di cookie e dirottamento dei cookie di sessione.
La buona notizia è che HSTS è sempre più utilizzato ed è supportato da importanti società del Web come Google, Gmail, Twitter e Paypal e da browser come Chrome, Firefox, Safari, Edge e IE, ormai da diversi anni.
Non esiste un unico pulsante su cui puoi fare clic per convertire tutte le connessioni in HSTS, ma può essere utile usare uno dei browser HSTS indicati sopra. E se possiedi un sito Web o un server e hai uno spirito tecnologicamente avventuroso, qui trovi alcune istruzioni per renderlo compatibile con HSDS.
Come rilevare un attacco man-in-the-middle
Poiché gli attacchi MITM sono molto difficili da rilevare mentre sono in atto, il modo migliore per restare al sicuro è adottare una buona strategia di prevenzione
Alcuni indizi possono suggerire la presenza di un attacco MITM:
In effetti, è molto breve come elenco.
La verità è che, poiché gli attacchi MITM sono molto difficili da rilevare mentre sono in atto, il modo migliore per restare al sicuro è adottare una buona strategia di prevenzione: come detto, procurati e usa una VPN, evita di connetterti direttamente alle reti Wi-Fi pubbliche, installa un antivirus affidabile e fai attenzione agli attacchi di phishing.
Per chi ha maggiori competenze tecniche, esistono strumenti affidabili per rilevare lo spoofing ARP, un chiaro indizio di un attacco MITM. Gratuito e open source, Wireshark è il più diffuso strumento di analisi dei protocolli di rete ed è utilissimo a questo scopo.
SSL Eye è un programma software gratuito per Windows che identifica le credenziali SSL di ogni sito con cui comunichi e può quindi avvisarti se ti trovi al centro di un attacco MITM.
Lista di controllo per la prevenzione degli attacchi man-in-the-middle