Cari lettori di Tecnogalaxy, oggi riprenderemo a parlare della tecnica MITM (Man In The Middle), tradotto in italiano l’uomo nel mezzo. Abbiamo già parlato di questa tecnica in articoli precedenti, utilizzando altri script. Oggi andremo a vedere nel dettaglio come funziona, come riconoscere un attacco e come difendersi.

Questa tipologia di attacchi consente a un cybercriminale di intercettare il traffico tra due dispositivi e spiarne l’attività mettendosi appunto in mezzo.

Tecnica Man In The Middle nel dettaglio

Questo tipo di attacco con tecnica Man In The Middle, può essere sferrato all’interno di una rete locale o di una rete domestica Wi-Fi, su Internet, durante l’accoppiamento di due dispositivi Bluetooth e persino durante un pagamento tramite Pos e carta contacless.

Con man in the middle, infatti, si intendono diversi tipi di attacchi ma tutti accomunati dalla stessa caratteristica:

C’è una connessione tra due utenti o due dispositivi, legittima, e un terzo soggetto che si mette illegittimamente “in the middle”, cioè nel mezzo.

Questo tipo di attacco è molto pericoloso perché il malcapitato non si accorge di niente.

Facendo un esempio è come se durante una conversazione via chat con un nostro amico e con la nostra partner, un malintenzionato si interponesse tra noi e la nostra partner leggendo tutto quello che ci stiamo scrivendo senza che nessuno si accorga, potendo anche modificare le frasi che ci stiamo scambiando.

Tecnica Man In The Middle: i casi tipici

Tecnica Man In The Middle nel dettaglio

L’attacco più diffuso (MITM) è quello all’interno di una rete Wi-Fi pubblica non crittografata. Ad esempio potrebbe essere la rete degli aeroporti, dei bar o di altri esercizi commerciali.

Un malintenzionato utilizzando uno strumento gratuito come Wireshark, (presente di default sul nostro caro amico Kali Linux), può infiltrarsi nella rete e leggere tutti i pacchetti di dati scambiati.

Fortunatamente questo tipo di attacco negli ultimi anni è diventato meno frequente, grazie al protocollo di rete HTTPS. Il protocollo HTTPS a differenza del precedente protocollo HTTP è sicuro perché crittografato.

L’attaccante con un attacco Man In The Middle verso una trasmissione HTTPS può ottenere una manciata di dati illeggibili. Purtroppo neanche l’HTTPS è sicuro al 100%.

Adottando diverse tecniche il malintenzionato dopo essersi “messo in mezzo”, costringere i dispositivi a usare un protocollo di rete non criptato. (pazzesco se ci pensate).

ARP Cache Poisoning

Un altro tipo di attacco ARP Cache Poisoning, nel dettaglio, il malintenzionato tenta di associare il proprio indirizzo MAC con l’indirizzo IP di qualcun altro presente nella rete.

Se l’associazione va a buon fine, il malintenzionato prende le sembianze dell’altro utente e tutti i dati destinati alla vittima vengono trasmessi all’attaccante.

Spoofing DNS

Un tipo di attacco simile a quello appena descritto: utilizzando questa tecnica il malintenzionato può deviare le richieste di accesso ad un sito, verso un secondo sito fasullo che controlla e in questo modo acquisisce i dati personali dell’utente con la possibilità di distribuire malware.

Il DNS è il servizio che traduce gli indirizzi Web digitati dagli utenti per la navigazione, che corrispondono a indirizzi IP che indentificano ogni singolo nodo …server web, computer, stampante, webcam, ecc.)

Se il malintenzionato riesce a modificare i server DNS  può spedirle gli utenti dove vuole.

L’ultimo tipo di attacco (che potrebbe sembrare banale), invece è quello che funziona quasi sempre, è quello di creare un falso Access Point (dal nome simile ma non uguale a quello legittimo) , così creando un ponte tra l’utente e il router della rete Wi-Fi.

Detto così sembra strano e banale, invece la gente ci casca quasi sempre e si connette all’Access Point fasullo creato dal malintenzionato aprendo così le porte del suo dispositivo.

Malware e man in the middle

È possibile lanciare un attacco servendosi di un malware, in gergo tecnico si parla di attacco “man in the browser” perché il malintenzionato tramite il virus infetta il software di navigazione sul Web.

Una volta compromesso il browser, l’attaccante può manipolare una pagina web mostrando qualcosa di diverso rispetto al sito originale.

Potrebbe anche dirottare il malcapitato su siti web fake,  che simulano ad esempio pagine bancarie o social media, impossessandosi delle chiavi di accesso…al resto immaginate voi.

Se prendiamo ad esempio il trojan SpyEye, utilizzato come keylogger per rubare le credenziali dei siti Web. SpyEye è stato sviluppato in Russia nel 2009, è stato diffuso tramite estensioni per i browser Google Chrome, Firefox, Internet Explorer e Opera.

Come proteggersi dagli attacchi MITM?

Come già ripetuto in altri articoli, la miglior difesa contro gli attacchi MITM è la prudenza, evitando di connettersi a hot-spot pubblici, (spesso si tratta di reti Wi-Fi con misure di sicurezza minime o addirittura senza alcuna crittografia).

Se proprio ci serve una connessione e non siamo in casa, meglio usare il proprio smarphone come hot-spot mobile.

Utilizzare una VPN,  potrebbe essere una soluzione abbastanza efficace contro un attacco simile, perché le VPN provvedono ad applicare una propria crittografia a tutto il traffico veicolato.

Ovviamente come tutte le cose,  la sicurezza di una VPN è proporzionale alla serietà e all’efficienza del provider che la fornisce.

Per proteggersi invece dagli attacchi MITM basati su malware, la cosa importante è non installare malware (sembra banale e scontato, ma è così)., tenere sempre aggiornato il proprio antivirus e effettuare sempre Windows Update per tenere aggiornato il sistema operativo.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.