Attacco SSL Stripping: come funziona e perché è pericoloso navigare senza HTTPS

Quando si parla di sicurezza in rete, il protocollo HTTPS rappresenta un prezioso alleato per la tutela dei dati personali. Navigando sul web, infatti, si condividono spesso informazioni sensibili che necessitano di un adeguato livello di protezione. L’HTTPS garantisce quindi un collegamento sicuro tra browser e sito web grazie all’utilizzo di certificati SSL/TLS (Secure Sockets Layer/Transport Layer Security). In questo modo, i dati scambiati nel corso della comunicazione vengono cifrati, rendendoli illeggibili nel caso in cui un attore malevolo dovesse riuscire a intercettarli.

Caratteristiche principali dell’SSL stripping
I rischi di un attacco SSL stripping
Prevenzione e difesa

Per questo motivo, i cybercriminali adottano diverse tecniche per forzare l’uso di connessioni non cifrate, tra cui l’attacco SSL stripping. In questo articolo analizzeremo nel dettaglio cos’è, il modo in cui può essere eseguito e quali conseguenze può avere sulle infrastrutture digitali. Infine, vedremo anche le principali linee guida da seguire per prevenire la minaccia.

Caratteristiche principali dell’SSL stripping

Documentato per la prima volta nel 2009 da Moxie Marlinspike, si tratta di un attacco che forza il browser a usare una connessione HTTP, eliminando ogni tipo di protezione crittografica.

Per eseguire un SSL stripping, gli attaccanti utilizzano un attacco man-in-the-middle per inserirsi nel mezzo della comunicazione tra l’utente e il sito web. Generalmente, quando un utente visita un sito web, la connessione viene stabilita dapprima tramite il protocollo HTTP e, successivamente, il sito reindirizza l’utente verso il protocollo HTTPS. In questo modo, la sicurezza della navigazione utente viene preservata.

I cybercriminali intercettano le connessioni HTTP e modificano le risposte TCP/IP, impedendo al browser di effettuare il passaggio al protocollo sicuro. In questo modo, il browser viene indotto a credere che non sia disponibile una connessione protetta, proseguendo la navigazione in HTTP non cifrato. Il risultato finale è che tutti i dati trasmessi dall’utente, come credenziali, dati bancari e informazioni personali, sono trasmessi in chiaro. Inoltre, i cybercriminali possono anche manipolare le risposte del server, modificando i contenuti che l’utente visualizza senza che questi possa accorgersene.

Metodologie di esecuzione dell’SSL stripping

Esistono diverse tecniche che gli attaccanti sfruttano come entry point per l’avvio di un SSL stripping. Le più comuni sono:

Server proxy malevoli.
Gli attaccanti configurano un server proxy per dirottare il traffico di rete verso i loro sistemi. In questo modo, ogni richiesta web che gli utenti eseguono è intercettata dagli attori malevoli, con l’impedimento dell’uso del protocollo HTTPS.
ARP spoofing.
Si tratta di una tecnica con cui i cybercriminali inviano falsi messaggi ARP sulla rete locale per associare il proprio indirizzo MAC a quello del gateway. Così facendo intercettano tutto il traffico destinato all’utente.
Access point fraudolenti.
Gli attaccanti creano reti Wi-Fi apparentemente legittime, ma in realtà progettate per intercettare e manipolare le comunicazioni di tutti i dispositivi connessi.

I rischi di un attacco SSL stripping

L’utilizzo del protocollo HTTP privo di crittografia espone in chiaro informazioni sensibili come credenziali di accesso, password e dati finanziari. Questo consente ai cybercriminali di eseguire data breach con estrema facilità, compromettendo la sicurezza degli utenti. I dati esfiltrati possono poi essere venduti sul dark web oppure impiegati per campagne di phishing mirate e impersonificazioni.

Per aziende e imprese, un attacco SSL stripping comporta gravi danni economici, tra cui costi diretti per il rimborso dei clienti coinvolti, spese per la manutenzione dei sistemi colpiti e per l’attivazione di contromisure. A questo si aggiungono l’interruzione dei servizi e la necessità di allocare tempo e risorse per le attività di mitigazione.

Ma oltre ai danni economici, si devono considerare anche quelli reputazionali. Infatti, un’azienda che subisce un attacco del genere, vede compromessa irrimediabilmente la fiducia dei propri clienti, partner commerciali e fornitori. Non è neanche raro che la violazione sfoci in conseguenze legali, a causa della mancata adozione di adeguate misure di protezione e salvaguardia dei dati sensibili.

Prevenzione e difesa

L’SSL stripping dimostra ancora una volta quanto la tutela dei propri dati in rete sia di fondamentale importanza. Pertanto, è fondamentale applicare alcune semplici ma efficaci linee guida di sicurezza per prevenire questo tipo di minaccia. In particolare, si consiglia di:

Controllare sempre la barra URL quando si naviga in rete.
La barra degli indirizzi permette di capire se il sito web utilizza una connessione sicura o meno osservando l’icona del lucchetto. Se si sta navigando su un sito che utilizza il protocollo HTTP, non bisogna assolutamente condividere alcun tipo di informazione.
Adottare il protocollo HSTS (HTTP Strict Transport Security).
Questo protocollo garantisce che i browser si colleghino a un sito web esclusivamente tramite protocollo HTTPS, prevenendo così potenziali tentativi di SSL stripping o attacchi man-in-the-middle.
Monitorare costantemente il traffico di rete.
I sistemi IDS (Intrusion Detection System) e altri strumenti per il monitoraggio della rete aiutano a identificare e rispondere a eventuali attività anomale, come reindirizzamenti inaspettati o cambiamenti nei pattern del traffico di rete.
Evitare di collegarsi a reti WiFi pubbliche.
Queste reti non sono adeguatamente protette; perciò, i cybercriminali possono comprometterle con estrema facilità e usarle per effettuare diversi attacchi informatici, come l’SSL stripping.
Eseguire regolari operazioni di sicurezza.
Operazioni come penetration test e vulnerability assessment aiutano a individuare potenziali exploit presenti all’interno della propria infrastruttura digitale.
Aggiornare costantemente i propri programmi e sistemi.
Gli aggiornamenti contengono patch di sicurezza che vanno a correggere vulnerabilità note sfruttabili dai cybercriminali per eseguire attacchi informatici.
Eseguire sessioni di formazione aziendale sulle best practices di cybersecurity.
In questo modo, i dipendenti di un’azienda possono individuare e segnalare più facilmente eventuali tentativi di attacchi informatici.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.