Introducing G2.ai, the future of software buying.Try now
Categoria Crittografia

Attacchi Man-in-the-Middle: Come Prevenire le Violazioni della Sicurezza

Luglio 7, 2023
Sagar Joshi
SJ
da Sagar Joshi

In questo post

In questo post

Prevenire i danni diventa ancora più complicato quando non si conosce la causa.

Gli attacchi man-in-the-middle, noti anche come machine-in-the-middle, monkey-in-the-middle o person-in-the-middle, causano interruzioni di cui gli utenti generalmente non sono consapevoli. Gli attaccanti intercettano le reti e decriptano gli scambi di dati in un attacco man-in-the-middle per sfruttare i dati delle vittime e compromettere la sicurezza informatica.

Devi impostare misure preventive solide utilizzando strumenti come software di crittografia, software di rete privata virtuale e altri per proteggerti dagli attacchi man-in-the-middle. Aiuterà a garantire la sicurezza della rete e la protezione dei dati rispettando vari standard del settore.

Cos'è un attacco man-in-the-middle?

Un attacco man-in-the-middle (MITM) coinvolge un perpetratore che trasmette o altera segretamente le comunicazioni tra due parti, che credono che la loro comunicazione sia sicura. È un tipo di attacco di intercettazione in cui gli attaccanti si inseriscono nel 'mezzo' degli scambi di informazioni e si mascherano da persona legittima coinvolta nella comunicazione.

Gli attaccanti intercettano le informazioni e possono inviare link o allegati dannosi alle due parti coinvolte senza essere rilevati.

Gli attacchi man-in-the-middle possono essere un tipo di attacco di dirottamento di sessione che causa danni alla sicurezza informatica di un'organizzazione. Ad esempio, nel 2017, Equifax ha affrontato una violazione dei dati che ha portato alla fuga di dati personali di 147 milioni di persone. Successivamente, si è scoperto che il sito web non utilizzava costantemente il protocollo Hypertext Transfer Protocol Secure (HTTPS), consentendo agli attaccanti di intercettare i dati in una sessione utente.

Le persone coinvolte in un attacco man-in-the-middle includono:

  • Persona A e Persona B: Persone legittime che stanno scambiando informazioni.
  • Attaccante: Perpetratori che intercettano la comunicazione tra le due parti senza destare sospetti.

L'obiettivo principale in un attacco man-in-the-middle è rubare informazioni sensibili o informazioni personali identificabili (numeri di carte di credito, numeri di sicurezza sociale, ecc.) e inviare link dannosi o malware a una vittima per sfruttare ulteriormente i loro beni.

Gli attaccanti possono condurre furti di identità o trasferimenti di fondi non autorizzati e molte altre attività dannose utilizzando le informazioni ottenute in un attacco man-in-the-middle. A volte, i perpetratori possono utilizzare i dati intercettati per condurre attacchi informatici più grandi attacchi informatici.

Un'altra forma di attacco man-in-the-middle è un attacco man-in-the-browser. Un attaccante intercetta un canale di comunicazione tra due parti legittime compromettendo un browser web utilizzato da una di esse. Sfruttano le vulnerabilità di sicurezza o alterano le funzionalità del browser per modificare il comportamento del browser e inserirsi nel canale di comunicazione.

Come funziona un attacco man-in-the-middle?

Un attacco man-in-the-middle coinvolge due fasi: intercettazione e decriptazione. Nella fase di intercettazione, un attaccante intercetta il traffico dell'utente prima che raggiunga la destinazione. Una volta intercettato il traffico, viene decriptato per rivelare le informazioni senza allertare le parti legittime.

Supponiamo che tu riceva un'email dal sito web della tua banca che ti chiede di svolgere un'attività urgente. Ti immergi nel link, ti autentichi nel sito web che sembra essere della tua banca e svolgi il compito. Qui, l'email era un tentativo di ingegneria sociale (phishing) effettuato da un man-in-the-middle, ingannandoti nel fare un tentativo di accesso a un sito web dannoso e rivelando le tue credenziali di accesso. L'attaccante può quindi usarle per svolgere attività fraudolente.

Tecniche di intercettazione

Il modo più semplice in cui un attaccante può intercettare una comunicazione è creando un hotspot Wi-Fi gratuito e pubblico. Quando le vittime si connettono a questi hotspot, gli attaccanti ottengono visibilità sugli scambi di dati in corso.

Lo spoofing è un attacco informatico che avviene quando un attaccante finge di essere un marchio o un contatto fidato nel tentativo di ingannare un obiettivo a rivelare informazioni sensibili. I perpetratori possono intercettare gli scambi di informazioni attraverso molteplici approcci attivi.

Spoofing del Domain Name System (DNS)

Lo spoofing del DNS, noto anche come avvelenamento della cache DNS, è una tecnica che gli attaccanti usano per indirizzare gli utenti verso siti web creati in modo dannoso invece di quelli genuini. Comporta lo sfruttamento delle vulnerabilità in un server DNS per deviare il traffico lontano da un server legittimo.

L'attaccante si inserisce nel mezzo del server DNS e del browser dell'utente e apporta modifiche in entrambi per alterare la cache. Ciò si traduce in un reindirizzamento a un sito web dannoso ospitato sul server locale dell'attaccante.

Quando una vittima viene reindirizzata a un sito web dannoso, viene invitata a inserire le proprie credenziali di accesso. Questo rivela le loro informazioni sensibili agli attaccanti. Inoltre, gli attaccanti possono fare spoofing e ingannarti nell'installare malware che potrebbe causare interruzioni più significative. Le organizzazioni possono utilizzare software di sicurezza DNS per proteggersi dallo spoofing del DNS o dagli attacchi di avvelenamento della cache DNS.

Spoofing del protocollo Internet (IP)

I dati vengono trasferiti attraverso Internet sotto forma di pacchetti multipli spezzati. Questi pacchetti vengono riassemblati alla fine per costituire le informazioni originali. Hanno un indirizzo IP di origine e un indirizzo IP di destinazione. Gli attaccanti modificano questi indirizzi nello spoofing IP, ingannando il sistema facendogli credere che provengano da una fonte fidata.

Gli attori malevoli usano questa tecnica per condurre attacchi di negazione del servizio (DoS). Può anche essere utilizzata in un attacco man-in-the-middle, dove gli attaccanti alterano le intestazioni dei pacchetti in un IP. Quando gli utenti tentano di accedere a un URL collegato all'applicazione web modificata in modo dannoso, vengono indirizzati al sito web dell'attaccante.

Spoofing del protocollo di risoluzione degli indirizzi (ARP)

Gli attaccanti inviano un messaggio ARP falsificato a una rete locale nello spoofing ARP. Ciò si traduce nel collegare gli indirizzi IP dei computer o dei server di un utente legittimo agli indirizzi Mac degli attaccanti.

Gli attacchi di spoofing ARP possono avvenire solo nelle LAN che utilizzano ARP. Una volta che l'indirizzo IP dell'utente è collegato all'indirizzo Mac dell'attaccante, qualsiasi dato trasmesso da un utente all'indirizzo IP host sarà accessibile agli attaccanti.

Tecniche di decriptazione

Quando un attaccante ha intercettato la comunicazione, il passo successivo è decriptarla senza allertare le parti legittime coinvolte. Ci sono vari percorsi che gli attaccanti usano per decriptare le informazioni.

Browser exploit against SSL/TLS (BEAST)

BEAST ha permesso agli attaccanti man-in-the-middle di rivelare informazioni in sessioni SSL/TLS 1.0 criptate. Gli attaccanti sono stati in grado di decriptare dati incomprensibili sfruttando vulnerabilità teoriche note. L'attacco BEAST ha fornito un esempio di come una piccola vulnerabilità teorica, quando combinata con altre debolezze di sicurezza, consente agli attaccanti di ideare un attacco informatico pratico.

In un attacco BEAST, gli attori delle minacce infettano il computer della vittima con JavaScript dannosi, intercettando i cookie di sessione criptati. Gli attaccanti compromettono quindi il cipher block chaining (CBC) per decriptare i cookie e i token di autenticazione.

Cos'è il cipher block chaining?

Il cipher block chaining è una modalità operativa di un cifrario a blocchi in cui una sequenza di bit viene criptata come un blocco unico e combinata con il blocco di testo cifrato precedente.

La chiave del cifrario è applicabile all'intero blocco, e ogni blocco dipende dal precedente per la decriptazione. A volte, viene utilizzato un vettore di inizializzazione per legare insieme questi blocchi di dati criptati.

Tuttavia, i browser moderni non sono vulnerabili agli attacchi BEAST poiché molti sono passati a TLS v1.1 o superiore e hanno implementato misure preventive aggiuntive.

Dirottamento del livello di socket sicuro (SSL)

Il dirottamento SSL coinvolge un attaccante che passa chiavi di autenticazione falsificate sia al server che al client. Sebbene la sessione sembri essere sicura, è in realtà controllata da un attaccante.

Il protocollo SSL stabilisce una connessione sicura tra un browser e un server utilizzando la crittografia. Gli attaccanti intercettano questa connessione sicura e scoprono informazioni criptate inserendosi tra il server e il client.

Spoofing HTTPS

Lo spoofing HTTPS coinvolge un attaccante che crea un sito web falso utilizzando un dominio che appare simile a un sito web legittimo. Ad esempio, l'attacco (noto anche come attacco omografico) consiste nel sostituire caratteri nei nomi di dominio reali con caratteri non ASCII con apparenze simili.

Gli attaccanti registrano anche il loro certificato SSL per mascherarlo come un sito web genuino. Molti browser consentono la visualizzazione di "nomi host Punycode" nella loro barra degli indirizzi, e le vittime non sono consapevoli di accedere a un sito web dannoso.

Inoltre, un attaccante può ingannare una vittima nell'installare un certificato falso nel browser. Contiene una firma digitale dell'applicazione compromessa. Il browser della vittima quindi verifica il certificato con un elenco di siti web fidati. In questo modo, gli attaccanti possono accedere ai dati della vittima prima che vengano trasmessi all'applicazione.

SSL stripping

Lo SSL stripping coinvolge gli attaccanti che degradano HTTPS a HTTP, consentendo loro di accedere alla comunicazione tra il client e il server in un formato non criptato.

Quando un client effettua una richiesta al server, un attaccante la intercetta e la trasmette mentre effettua una richiesta legittima indipendente al server. Quando il server risponde, l'attaccante la intercetta e la trasmette al client in un formato non criptato. L'attaccante si maschera sia come server che come client ed evita qualsiasi sospetto nella comunicazione in corso.

Ad esempio, un utente invia una richiesta per autenticare il proprio conto bancario. Un attaccante intercetta questa richiesta e crea una richiesta legittima separata al server della banca. Dopo aver ricevuto una risposta dal server, l'attaccante restituisce una risposta non criptata all'utente con la pagina di accesso. L'attaccante ruba le informazioni quando l'utente inserisce le proprie credenziali di accesso.

Vuoi saperne di più su Software di crittografia? Esplora i prodotti Crittografia.

La VPN protegge dagli attacchi MITM?

Una rete privata virtuale (VPN) estende una rete privata su una rete pubblica che consente agli utenti di navigare in Internet in modo sicuro e protetto. Le organizzazioni generalmente utilizzano software VPN per fornire un accesso rapido, criptato e remoto alla rete privata di un'azienda.

Utilizzare una VPN aiuterebbe sicuramente a proteggere il traffico tra il tuo dispositivo e il gateway VPN. Ma una volta che il traffico passa attraverso il gateway VPN, può essere intercettato. Gli attaccanti non saranno in grado di mirare a attacchi MITM su singoli utenti, ma possono comunque condurre un attacco indiscriminato contro tutti gli utenti del sito web.

I criminali informatici hanno molte tecniche per penetrare nelle difese informatiche di un'organizzazione. Sebbene la VPN offra una protezione sostanziale contro gli attacchi MITM, dovrebbe essere accompagnata da un approccio completo alla sicurezza informatica con software di sicurezza pertinenti.

Come rilevare un attacco MITM

I concetti di sicurezza informatica sono allineati più alla prevenzione che al rilevamento. Devi impostare misure preventive robuste per prevenire gli attacchi MITM.

Anche se gli attacchi man-in-the-middle sono più difficili da rilevare, ci sono molti segnali che puoi cercare per limitare i danni negli attacchi MITM, tra cui:

  • Indirizzo del sito web strano: Se trovi un indirizzo sospetto, dovresti fare attenzione poiché potrebbe essere un attacco MITM. Ad esempio, vedi https://faceb00k.com invece di https://facebook.com; è un possibile segno di un attacco MITM.
  • Disconnessioni ripetute: Gli attaccanti a volte disconnettono forzatamente gli utenti nella rete. Quando una vittima reinserisce il proprio ID di accesso e le password, un attaccante può intercettarli. Ogni volta che osservi un comportamento inaspettato come questi, potrebbe suggerire un attacco MITM.
  • Utilizzo di una connessione Wi-Fi non sicura: Gli attaccanti creano reti false con ID simili a quelli che conosci e ti ingannano nell'usarle. Possono intercettare tutto il traffico che scorre attraverso queste reti, mettendo a rischio i tuoi dati sensibili. Dovresti astenerti dall'utilizzare una rete Wi-Fi non sicura e fare attenzione mentre usi una pubblica.

Assicurati di avere impostato un qualche tipo di meccanismo di rilevamento delle manomissioni e di autenticazione delle pagine, e con l'aiuto della digital forensics, puoi possibilmente rilevare un attacco MITM.

Come proteggersi dagli attacchi MITM

Impostare misure preventive è più importante che rilevare un MITM mentre sta avvenendo. Devi seguire le migliori pratiche e fare attenzione.

Le migliori pratiche per proteggersi dagli attacchi MITM sono:

  • Connettiti sempre a un router sicuro che offra un meccanismo di crittografia forte.
  • Cambia la password predefinita del router per impedire agli attaccanti di compromettere il tuo server DNS.
  • Usa software VPN per estendere una rete privata su una rete pubblica e impedire agli hacker malevoli di decifrare i tuoi dati.
  • Installa un plugin del browser per imporre la connessione HTTPS su ogni richiesta.
  • Usa la crittografia a chiave pubblica per verificare l'identità di altre entità con cui stai comunicando.
  • Usa la crittografia end-to-end per le videoconferenze e gli account email, e implementa l'autenticazione a più fattori.
  • Imposta strumenti di rilevamento e rimozione malware e mantienili aggiornati.
  • Usa gestori di password per salvare, prevenire e proteggere il riutilizzo delle password.
  • Monitora i log per rilevare anomalie nel traffico di rete.
  • Usa DNS su HTTPS per proteggerti dagli attacchi di dirottamento DNS.

Previeni o pentiti – è la tua scelta!

Gli attacchi man-in-the-middle possono causare danni significativi alla sicurezza dei dati e possono portare a conseguenze legali. Devi mettere in atto una difesa robusta contro tali attacchi e rimanere ben informato e consapevole del panorama delle minacce attuali.

Anche dopo aver impostato una difesa forte, se diventi vittima di un attacco man-in-the-middle, devi mantenere un piano di risposta agli incidenti per affrontare tali situazioni.

Scopri di più su come gestire gli incidenti di sicurezza e affrontarli con un piano d'azione chiaro.

Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Esplora altri articoli di G2

Il miglior software per la creazione di contenuti in più formati
Software consigliato per la gestione degli agenti del contact center
Strumenti principali per automatizzare i processi di build e test
Quale piattaforma integra le interviste video con i sistemi ATS?