L’attacco Man-in-the-Middle si presenta sotto molte varianti, dal classico MITM a tecniche più recenti come il Man-in-the-Browser e il Man-in-the-Mobile. Riconoscerle è il presupposto per difendere comunicazioni private e dati sensibili.
Gli attacchi Man-in-the-middle, spesso abbreviati in MITM, sono tra le tecniche più popolari nell’arsenale dei cybercriminali. Il principio è sempre lo stesso. Un attaccante si interpone tra due interlocutori in una comunicazione, in modo silenzioso. Mentre l’invio e la ricezione dei dati procedono in apparenza normalmente, l’aggressore ascolta, decodifica e in molti casi modifica il flusso.
Decifrare le comunicazioni private tra due parti è il punto di partenza. L’obiettivo finale può andare ben oltre, dalla raccolta di credenziali bancarie all’inserimento di codice malevolo nelle pagine web visitate dalla vittima. Esistono varianti tarate sul canale di comunicazione, sul dispositivo o sul livello di rete coinvolto. Le analizziamo una per una.
Cos’è un attacco Man-in-the-Middle
Un attacco Man-in-the-Middle (MITM) è una forma di attacco informatico in cui un agente malintenzionato si inserisce tra due soggetti che stanno comunicando. L’intervento avviene in modo invisibile e non autorizzato. Alla base c’è quasi sempre lo sfruttamento di protocolli di trasporto deboli o obsoleti oppure un loro impiego scorretto.
L’obiettivo principale è intercettare la comunicazione tra le parti e modificarla a proprio vantaggio, senza che le due si accorgano di nulla. Le finalità non si limitano alla sola appropriazione indebita dei dati trasmessi. Spesso le connessioni intercettate vengono corrotte fino a deformare il messaggio o a interrompere del tutto il servizio.
L’attaccante può operare in due modi distinti:
- passivo: si limita a reperire informazioni altrimenti riservate;
- attivo: gestisce la comunicazione fino a fingersi una delle parti.
Per la sua natura, un attacco MITM è spesso un mezzo più che un fine. Permette di raccogliere informazioni preziose e gettare le basi per attacchi successivi più articolati. Resta tuttavia possibile capitalizzare immediatamente, soprattutto quando i dati trafugati riguardano credenziali, dati bancari o documenti riservati.
Una parte del successo di queste tecniche deriva dalla capacità dell’attaccante di fingersi una persona o un servizio affidabile. La vittima comunica informazioni sensibili senza accorgersi della frode in atto. Anche con comunicazioni cifrate a doppia chiave come RSA il rischio non sparisce. Un MITM ben condotto consente di intercettare le chiavi pubbliche dei due interlocutori. L’aggressore decifra così tutti i messaggi della conversazione rimanendo nell’anonimato. Questi attacchi sono notoriamente difficili da individuare mentre sono in atto.
Le principali tipologie di attacco MITM
Sotto la dicitura Man in The Middle si nasconde un ventaglio di tecniche diverse. Tutte applicano lo stesso principio d’azione ma sfruttano canali, livelli di rete e debolezze differenti. Tra le tattiche più diffuse troviamo le seguenti.
Session Hijacking
Rubando il cookie di sessione, un attaccante può sostituirsi a un utente durante una comunicazione attiva. I bersagli classici sono le sessioni di home banking e di acquisti online, dove il valore della sessione catturata è immediato.
IP spoofing
L’attaccante si inserisce in una comunicazione privata mascherando il proprio indirizzo IP. L’IP è il codice univoco che identifica un dispositivo all’interno di una rete. La sua falsificazione consente di sembrare un mittente legittimo e di intercettare il traffico destinato ad altri host.
MFA bombing
Gli attacchi MITM riescono a vanificare anche il compito delle autenticazioni a più fattori. In questa variante l’attaccante è già in possesso di username e password. Per accedere all’account gli serve un secondo fattore, spesso un codice temporaneo (OTP). L’aggressore si finge un operatore di un servizio legittimo, come una banca o l’assistenza clienti, e contatta l’utente con una presunta richiesta di reimpostazione. Lo scopo è far rivelare il codice durante la chiamata.
SSL stripping
In questo caso, gli hacker si interpongono tra utente e server. Instaurano una connessione cifrata legittima verso il server, mentre con l’utente colloquiano in chiaro attraverso il protocollo HTTP. La comunicazione risulta compromessa per intero, senza che l’utente possa rendersi conto del downgrade.
MITMo: l’attacco Man-in-the-Mobile
Le vulnerabilità nei protocolli usati dalle applicazioni mobile danno luogo a una variante particolare di Man-in-the-Middle: il MITMo, ovvero Man-in-the-Mobile. Nelle app mobili è fondamentale il modo in cui viene gestita l’autenticazione, perché solo così si garantisce che la comunicazione avvenga tra le due parti legittime.
Gli attaccanti hanno a disposizione due leve principali:
- una validazione errata dei certificati di comunicazione;
- l’impiego di protocolli obsoleti o non sicuri.
Nello specifico delle applicazioni mobile entra in gioco la pratica del certificate pinning. In sostanza, i protocolli ritenuti sicuri vengono associati in modo rigido a un host con cui si intende comunicare. La contromisura previene molti attacchi MITM ma ha scarsa efficacia quando l’attacco è già in atto. Per questo motivo il certificate pinning deve essere presente nell’app prima ancora che il dispositivo si colleghi alla rete.
MITB: l’attacco Man-in-the-Browser
Il Man-in-the-Browser (MITB) è una forma di MITM in cui l’attaccante si interpone nella comunicazione tra due entità attraverso la compromissione del browser di una di esse. Il fine resta intercettare comunicazioni altrimenti private, questa volta sfruttando le vulnerabilità del sistema di accesso al web anziché del livello di trasporto.
L’attacco Man-in-the-Browser viene messo in atto principalmente per portare a termine frodi bancarie. Compromettendo il browser è possibile manomettere comportamento e contenuto delle pagine web visualizzate dalla vittima. Per raggiungere lo scopo gli attaccanti ricorrono di solito a malware, in particolare trojan, capaci di installarsi silenziosamente e modificare il comportamento del browser senza destare sospetti.
Evil twin e altre varianti del Man-in-the-Middle
Gli attaccanti possonofalsificare i punti di accesso Wi-Fi legittimi, riuscendo a controllare l’intero traffico scambiato attraverso di essi. La minaccia è nota come Evil twin (o Wi-Fi spoofing) e viene spesso impiegata per ottenere informazioni e dati sensibili, soprattutto in ambito bancario.
Un esempio chiarisce il meccanismo. Notando una transazione bancaria in corso, un attaccante posizionato come Man-in-the-Middle può dirottare un bonifico oppure carpire credenziali e informazioni personali della vittima. L’intercettazione del traffico dati consente all’intruso di conoscere anche i requisiti di aggiornamento dei software utilizzati. Quando la vittima tenta di aggiornare un applicativo, l’attaccante può inviarle un software modificato. Spesso si tratta di un pacchetto contenente malware o di una vulnerabilità ad hoc da sfruttare in seguito. Sono disponibili interi exploit kit creati appositamente per sfruttare aggiornamenti contraffatti.
Una variante più sofisticata non richiede la prossimità fisica alla vittima. La compromissione dei protocolli di routing permette di operare da remoto. Gli attaccanti fingono di avere giurisdizione su determinati indirizzi IP, in modo che il traffico venga reindirizzato verso le loro infrastrutture. Da lì l’attacco MITM si sviluppa con le stesse modalità descritte sopra.
Come prevenire un attacco Man-in-the-Middle
Per fortuna esistono tecniche di prevenzione e buone pratiche che riducono in modo netto la probabilità che un attacco MITM vada a segno. Una minaccia già in atto è invece difficile da rilevare. Quando viene notata, i danni sono di solito già stati fatti. La prevenzione resta dunque una strategia insostituibile contro il Man-in-the-Middle.
Adottare un protocollo di comunicazione sicuro
Anche i protocolli più complessi possono presentare lacune, ma il loro uso rende decisamente più sicura l’esperienza in rete. Il protocollo di cifratura TLS, in particolare nella versione 1.3, è ormai uno standard di fatto per la protezione delle comunicazioni online. L’adozione di HSTS (HTTP Strict Transport Security) sui siti web aggiunge un livello ulteriore contro i tentativi di SSL stripping.
Cifrare il traffico con una VPN
L’uso di punti di accesso Wi-Fi pubblici o non completamente verificabili facilita gli attacchi MITM. Sia in ambito lavorativo sia personale conviene tenere alta l’attenzione sui rischi che derivano da connessioni non sicure o da trasmissioni su protocolli obsoleti. Per innalzare il livello di sicurezza, specialmente in ambito aziendale, è opportuno implementare soluzioni VPN capaci di cifrare la connessione e rendere illeggibile il contenuto.
Mantenere il dispositivo pulito
Gli attacchi MITM sono difficili da identificare una volta in atto. Conviene almeno limitarne i possibili danni. L’uso di antivirus aggiornati e di soluzioni EDR consente di intercettare ed eliminare eventuali malware introdotti nel sistema in seguito all’attacco. Una buona igiene del dispositivo riduce notevolmente la superficie disponibile per un attaccante.
Verificare i certificati digitali
Quando si accede a un sito che dovrebbe essere cifrato, conviene controllare che il certificato sia valido e firmato da una Certificate Authority riconosciuta. Le moderne versioni dei browser segnalano in modo evidente certificati scaduti, autofirmati o sospetti. Trascurare questi avvertimenti significa esporsi a tentativi di SSL stripping o di intercettazione tramite certificati fasulli.
Formare il personale aziendale
Una parte rilevante dei tentativi MITM sfrutta debolezze umane più che tecnologiche. Una formazione mirata aiuta i dipendenti a riconoscere reti Wi-Fi sospette, certificati anomali e richieste di reimpostazione credenziali poco plausibili. Un percorso di academy cybersecurity dedicata alle aziende fornisce ai team le competenze concrete necessarie a contenere il rischio. Un’analisi indipendente attraverso un’attività di penetration test permette di valutare la reale tenuta dell’infrastruttura.
Conclusioni
Negli attacchi Man in the Middle, gli hacker si interpongono nella comunicazione tra una vittima e il servizio con cui questa cerca di interagire. Le sfaccettature di questo attacco sono molteplici e dipendono dal contesto. Il principio rimane sempre lo stesso: porsi nel mezzo tra due interlocutori e, nei casi più estremi, impersonare totalmente uno di essi.
L’attacco può svolgersi a livello applicativo nel browser (Man-in-the-Browser), spesso accompagnato da tentativi di session hijacking. Le esigenze degli attaccanti si sono adattate anche ai dispositivi mobili, dando origine alla variante Man-in-the-Mobile. A questo si aggiungono le forme che sfruttano reti Wi-Fi false (Evil twin) o la compromissione dei protocolli di routing per operare da remoto.
Per fronteggiare un ventaglio così ampio di minacce, la prevenzione ha il peso maggiore. Un attacco MITM in corso è difficile da intercettare. Tra le contromisure restano imprescindibili l’uso di protocolli di trasporto aggiornati, l’impiego di VPN affidabili e la formazione costante delle persone sui rischi delle connessioni pubbliche e sui segnali di una possibile intrusione.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.