Cos’è l’attacco man in the middle, come viene eseguito e come ci si può proteggere da questo tipo di attacco informatico
Gli attacchi informatici sono ormai un argomento di stretta e ricorrente attualità, al punto da non costituire più un’eccezione ma una prassi quotidiana, che si cela sempre più dietro situazioni di normalità apparente. Quante volte un utente ignaro si connette alla rete e non sa di essere spiato da un hacker? È sufficiente una distrazione, un collegamento poco accorto ad un Wi-Fi pubblico non protetto, nonché una delle decine di operazioni che siamo soliti svolgere ormai senza pensarci ogni giorno per cadere vittime di un attacco Man in the Middle, le cui conseguenze posso rivelarsi spesso decisamente drammatiche, a seconda del valore economico e strategico dei dati che finiscono in mano ai malintenzionati.
La pratica dello spionaggio è sin dai tempi antichi un’attività fondamentale per sfruttare a proprio vantaggio le informazioni riservate. Conoscere in anticipo le mosse dell’avversario per escogitare le contromosse utili a coglierlo di sorpresa ha consentito alle civiltà di vincere guerre ed imporre la propria supremazia nei confronti di chi non ha saputo proteggere in maniera adeguata le proprie informazioni vitali. Oggi le attività di spionaggio si sono arricchite della loro componente informatica, resa più che mai fiorente grazie all’aumento esponenziale delle infrastrutture di rete e dei dati che vi transitano in quantità sempre maggiori ogni giorno.
La sfida contro lo spionaggio informatico non è più una prerogativa degli stati, dei servizi segreti e delle intelligence dei principali player socio-economici mondiali. Oggi riguarda davvero tutti, è più che mai aperta e lo sarà sempre di più in futuro, in misura proporzionale alla nostra presenza nella rete.
Gli attacchi Man in the Middle sono sempre più frequenti per via della loro natura subdola, che ne rende oggettivamente difficile una diagnosi. È possibile contrastarli grazie alla tecnologia ma soprattutto ad un corretto comportamento nella rete, rinunciando il più delle volte ad alcune comodità per accertarsi di navigare e comunicazione in condizioni davvero sicure.
Cos’è l’attacco Man in the Middle
Un attacco Man in the Middle (MitM) è una procedura che consente ad un attaccante di intercettare informazioni sensibili inserendosi nella comunicazione legittima tra due soggetti in una rete locale o pubblica. Il target privilegiato di questi attacchi sono generalmente i dati di accesso ai servizi, che consentono al malintenzionato di sostituirsi all’utente legittimo per effettuare frodi di varia natura, come il furto d’identità, dei dati finanziari di un servizio di internet banking o l’accesso alla rete aziendale, dove sono disponibili dati e informazioni riservate.
La particolare natura dell’attacco Man in the Middle risiede nella sua discrezione. L’attaccante non rivela la propria presenza, mirando piuttosto a far credere alle due parti che comunicano in maniera legittima che la loro interazione sia del tutto normale, in modo che non possano sospettare assolutamente di nulla.
Qualora un hacker volesse sfruttare le informazioni acquisite grazie ad una attività Man in the Middle per portare a segno un attacco malevolo, oppure un’azione ricattatoria, lo farà sempre in un secondo momento, quando ormai la vittima non potrà che prendere atto del fatto di essere stata beffata in maniera del tutto inconsapevole.
La straordinaria varietà di situazioni in cui oggi ci ritroviamo durante le connessioni alle reti locali e pubbliche offre un ventaglio molto ampio di possibilità per gli attacchi Man in the Middle. Ci focalizzeremo soprattutto sui più diffusi per cercare di acquisire una sensibilità critica nei confronti delle situazioni più a rischio riguardanti le abituali connessioni che vengono svolte sia durante le attività personali che nel contesto delle operazioni di tipo aziendale.
Le tipologie di attacco
Le tecnologie di comunicazione su Internet offrono agli hacker la possibilità di sfruttare numerose falle, utilizzando una grande varietà di tecniche per portare a termine i loro attacchi Man in the Middle. Tali azioni possono svolgersi in maniera automatizzata, grazie ad alcune applicazioni che vengono implementate stabilmente nei sistemi di comunicazioni per intercettare i dati che vi transitano, ma possono anche essere svolte manualmente dagli hacker. In questo specifico contesto parleremo di human assisted attack.
Come avviene ormai nella stragrande maggioranza delle minacce informatiche, tali azioni sono sempre più semplici da svolgere, grazie le oscure pratiche del Crime as a Service, che mettono a disposizione anche dei delinquenti meno esperti una serie di tool utili a penetrare nelle comunicazioni ed intercettarne in maniera del tutto illegale i dati.
Vediamo pertanto una rassegna delle principali tipologie di attacco Man in the Middle, prima di focalizzarci sulle misure utili per cercare di mettere i nostri dati e le nostre comunicazioni al sicuro dalle attenzioni dei criminali.
Spoofing del DHCP
Il servizio DHCP (Dynamic Host Configuration Protocol) altri non è che il responsabile dell’assegnazione degli indirizzi IP in una LAN (local area network). Nella maggior parte dei casi, il funzionamento dei servizi DHCP è ormai automatizzato. Quando un utente si connette ad una rete, il suo dispositivo riceve gli estremi di identificazione, tra cui l’indirizzo IP, che consente a tutte le macchine collegate alla stessa rete locale di riconoscersi ed effettuare comunicazioni tra loro.
Oltre all’indirizzo IP locale, la scheda di rete gestisce anche altre informazioni, come la maschera di rete, l’indirizzo del gateway predifinito per accedere alla rete locale, oltre agli indirizzi dei server DNS verso cui indirizzare le richieste di accesso al web. Si tratta di un’architettura piuttosto semplice, ma molto variegata, che consente agli hacker varie opportunità per infiltrarsi e compromettere la sicurezza delle comunicazioni.
Sfruttando le falle di sicurezza presenti in una rete locale, gli hacker riescono a predisporre un server DHCP fasullo, manipolando in maniera fraudolenta le connessioni tra i vari dispositivi connessi, permettendo di intercettarne agevolmente i contenuti. Lo spoofing del DHCP consiste proprio in questa manipolazione, che ha come prerequisito fondamentale la presenza dell’hacker all’interno della LAN. Tale eventualità potrebbe apparire piuttosto remota nel caso di una rete aziendale dotata di un minimo di protezione, ma è decisamente comune e frequente nel caso delle reti pubbliche, soprattutto se consideriamo gli hotspot wi-fi pubblici disponibili in bar, alberghi, centri commerciali, ecc.
ARP Cache Poisoning / ARP Spoofing
L’ARP è un comune protocollo di rete che si occupa di mappare gli IP presenti all’interno di una LAN con gli indirizzi hardware dei dispositivi correlati, quelli che siamo soliti venire identificati come MAC address.
Per stabilire una comunicazione i device devono conoscere i loro indirizzi MAC e per farlo avanzano una richiesta ARP, che contiene IP e MAC address del device richiedente, oltre all’IP del device cui si intende inviare la comunicazione. Il protocollo verifica in automatico la coerenza di tale richiesta e restituisce una risposta ARP, che contiene il MAC address presso cui effettuare l’invio.
L’attacco Man in the Middle in questo caso si focalizza nella manipolazione della cosiddetta ARP cache, la tabella che riepiloga la relazione tra IP e MAC address. Sostituendo ai parametri originali dei valori fasulli, gli hacker riescono a reindirizzare le comunicazioni verso destinazioni a loro utili, nella forma di dispositivi che non darebbero mai luogo a sospetti, in quanto veicolati da false risposte ARP, funzionalmente del tutto analoghe rispetto a quelle genuine. Come nel caso dello spoofing DHCP, anche nel caso dello spoofing ARP, l’hacker per manipolare con successo i propri bersagli deve necessariamente introdursi e ed essere presente nella LAN delle proprie vittime, ma se riesce nel suo intento può agevolmente accedere al traffico dati in uscita dai vari dispositivi prima che vengano inoltrati al gateway corretto, in modo da non allertare comportamenti di natura sospetta. Anche in questo caso, le reti pubbliche costituiscono l’habitat più favorevole per portare a segno un attacco Man in the Middle.
Spoofing dei DNS
Il DNS (Domain Name System) fa capo a tutti i servizi che devono tradurre il nome di un dominio internet nell’IP corrispondente durante la navigazione sul web. Quando un utente vuole accedere ad un sito web non si riferisce direttamente all’indirizzo IP della macchina che lo ospita, ma inserisce il nome del suo dominio in un broswer web, che a sua volta inoltra la richiesta di risoluzione degli URL ai server DNS predisposti dal provider di navigazione.
I server DNS ricevono la richiesta di risoluzione degli URL dai browser web e la traducono nell’IP necessario per localizzare ed accedere al server che contiene il sito da visitare. Se il server DNS non dispone delle informazioni necessarie per esaudire la richiesta, la inoltra automaticamente verso altri server DNS. Attraverso questa rete di server, gli ISP (Internet Service Provider) riescono ad esaudire le richieste DNS a livello globale, partendo da configurazioni di accesso molto semplici, che nella maggior parte dei casi corrispondono ad un unico indirizzo IP memorizzato nelle impostazioni del router dei naviganti.
In questa catena di richieste, gli hacker possono avere gioco facile nel caso in cui riescano a localizzare un server DNS in cui risiedono falle di sicurezza, decisamente frequenti sui sistemi obsoleti e poco aggiornati.
Una volta localizzato un server manipolabile, l’attacco Man in the Middle avviene nella cache DNS, dove agli indirizzi IP legittimi vengono sostituiti quelli fasulli, che reindirizzano il traffico dati laddove gli hacker possono facilmente intercettarlo con i loro sistemi. L’avvelenamento della cache del server DNS costituisce un’eventualità verso cui è molto difficile difendersi, per il fatto che l’hacker non deve introdursi necessariamente in una rete locale, come abbiamo visto risulta essenziale nel caso del DHCP spoofing e del ARP spoofing.
È dunque compito degli ISP accertarsi che i server DNS cui fanno riferimento siano adeguatamente sicuri per non incorrere nel rischio di un DNS spoofing, utilizzando ad esempio delle estensioni specifiche per garantire l’autenticità e l’integrità dei dati di traffico (DNSSEC, ecc.).
Spoofing HTTPS
Dato per scontato che oggi non bisognerebbe mai utilizzare un protocollo http, ma accertarsi che il sito web cui vogliamo accedere via browser disponga del più moderno https, tale eventualità non ci mette tuttavia del tutto al riparo dalla possibilità di risultare vittime di un attacco Man in the Middle. Gli hacker possono infatti eludere le barriere crittografiche che di norma ci renderebbero del tutto sicure le nostre comunicazioni con il destinatario.
Lo spoofing HTTPS consiste nell’impiego di un dominio che appare identico rispetto al legittimo sito web di destinazione. Tale azione è altrimenti nota come attacco omografo e prevede la sostituzione dei caratteri del dominio target con altri caratteri non-ASCII, di cui è oggettivamente molto difficile accorgersi della differenza, anche per il fatto che il browser continua a rilevare una connessione https di base assolutamente sicura.
L’attacco Man in the Middle viene predisposto grazie alla registrazione di un nome di dominio simile al sito web che si intende emulare, registrando anche un certificato SSL che lo renda del tutto insospettabile alle verifiche effettuate dai browser di navigazione. Questa azione è piuttosto semplice da portare a termine in quanto ci sono vari servizi di registrazione di dominio che non effettuano controlli approfonditi sui richiedenti ed al tempo stesso godono di tutte le credenziali e le autorizzazioni per fornire certificati validi nelle mani dei criminali.
Anche se a prima vista un attacco Man in the Middle che mira a manipolare l’HTTPS di un sito potrebbe apparire piuttosto difficile da eludere, esistono due semplicissime procedure che possono facilmente renderlo inoffensivo.
La prima consiste nel disabilitare il supporto per la visualizzazione di punycode, opzione solitamente disponibile nelle impostazioni del browser, in modo da rilevare sempre il vero nome del dominio ed evitare di cadere vittima di situazioni in cui una lettera viene ad esempio sostituita con una lettera cirillica di uguale aspetto, risultando di fatto identica a livello di indirizzo sulla barra degli indirizzi del browser.
La seconda azione utile ad evitare di cadere vittime ignare degli attacchi Man in the Middle risiede nell’impiego di un gestore di password, che associa le credenziali ad un sito specifico ed è perfettamente in grado di accorgersi quando il dominio non è legittimo, in quanto non si basano sulle rappresentazioni punycode.
SSL hijacking
Altrimenti noto come SSL stripping, questo attacco Man in the Middle consiste nell’inscenare uno schema di stripping SSL contro la vittima, declassando le comunicazioni tra client e server in un formato non crittografato. Ciò si rende necessario per il fatto che anche intercettando una comunicazione, nel caso di un protocollo HTTPS, questa è protetta dalla crittografia, che rende impossibile la lettura diretta delle informazioni contenute.
In altri termini, l’obiettivo dell’hacker è nel declassare una comunicazione https in una semplice comunicazione http, priva della protezione a livello crittografico. Per riuscire in questo perfido intento, i criminali intercettano una normale comunicazione inviata al server legittimo mediante protocollo https, ricevono la risposta dal server e la inoltrano alla vittima in formato http. A questo punto, la comunicazione tra l’utente e il server continua utilizzando il protocollo http, privo della protezione garantita dal SSL, e ciò consente ai malintenzionati di accedere facilmente al contenuto del traffico dati.
Ci sono vari modi per difendersi anche piuttosto agevolmente dagli attacchi basati sul SSL hijacking, come una semplice estensione/applicazione che consenta soltanto le comunicazioni basate sul protocollo https, dove vi è certezza assoluta dell’attività del SSL, in quanto soltanto attraverso la sua rimozione l’hacker può portare a termine il proprio attacco Man in the Middle, riuscendo non soltanto ad intercettare i dati, ma anche a leggerli e utilizzarli a proprio vantaggio.
Email hijacking
Altrimenti noto come email spoofing, consiste un attacco Man in the Middle basato sul dirottamento delle email. Quando l’hacker accede all’account di una delle sue vittime inizia a monitorare le comunicazioni tra il client e il provider mail ed utilizzarle in maniera fraudolenta, attraverso il furto di identità e dei dati di accesso ai vari servizi, anche attraverso una banale reimpostazione delle password, qualora non fossero attivi dei sistemi di protezione multifattoriali più robusti.
La modalità più frequente per predisporre un email hijacking è data dal phising, attraverso cui gli hacker ingannano le vittime e le convincono a rivelare le proprie credenziali di accesso, mediante l’impiego di pagine web fasulle, che emulano i servizi genuini, piuttosto che tramite l’installazione di un malware keylogger, che registra in maniera molto semplice le sequenze dei tasti digitati durante le varie procedure di autenticazione effettuate nei browser e nelle app.
Session Hijacking: gli attacchi basati sui cookies
Il dirottamento della sessione di navigazione è un attacco Man in the Middle in cui l’hacker riesce a sfruttare una serie di punti deboli, che spaziano dalle modalità di implementazione delle sessioni all’autenticazione degli utenti, per manipolare la sessione stessa e renderla utile ai fini di accedere in maniera indisturbata ad una applicazione.
L’oggetto sensibile di questo attacco è il famigerato cookie, delle cui richieste di autorizzazione e consensi siamo ormai letteralmente bombardati ad ogni sessione di navigazione. Quando l’utente accede ad una applicazione web, questa restituisce un ID di sessione univoco, un cookie che identifica l’utente sul server durante l’avvio di una sessione. Qualora i cookie vengano conservati, si tratta di una procedura utile, perché consente soprattutto di evitare all’utente una nuova procedura di autenticazione ogni volta che accede alla stessa applicazioni.
La loro validità viene solitamente accordata quando accettiamo le modalità di utilizzo dei cookie. Per farla semplice, più cookie abilitiamo, più la navigazione risulterà veloce, ma saranno maggiori i dati e le informazioni che andiamo a scambiare e a condividere con l’applicazione cui vogliamo accedere.
Tale dinamica, per quanto comoda, può rivelarsi il caso ideale per la predisposizione di un attacco Man in the Middle, soprattutto perché il cookie rimane conservato in locale, sui device utilizzati, e rimane valido anche quando non utilizziamo il servizio per cui l’abbiamo predisposto.
Grazie a questa caratteristica, l’hacker mira a rubare il cookie presente sul device e utilizzarlo per accedere alle sessioni attive. Dal punto di vista tecnico esistono moltissimi modi per riuscire a finalizzare questo obiettivo e molto spesso i cookie vengono rubati grazie all’azione dei malware installati sui dispositivi che li conservano.
Come si esegue un attacco man in the middle
Abbiamo visto quale sia la varietà di situazioni in cui gli hacker possono letteralmente mettersi in mezzo alle comunicazioni client/server per intercettarle e manipolarle a piacimento. Dal punto di vista informatico, ognuno dei contesti precedentemente analizzati corrisponde ad una tipologia di attacco differente, che prevede l’impiego di vari strumenti e metodologie.
Tuttavia, con semplici finalità divulgative, possiamo ipotizzare una pipeline tipo che l’hacker andrebbe a predisporre ogni talvolta intendesse stabilire un attacco Man in the Middle, ipotizzando lo scenario di una rete pubblica in cui un utente stabilisce la connessione con un sito web. Il caso citato risulta particolarmente rappresentativo in quanto si tratta di una situazione molto frequente anche per quanto concerne la casistica reale.
Fase 1 – l’hacker intraprende un’azione di ascolto delle comunicazioni trasmesse attraverso una rete pubblica;
Fase 2 – la potenziale vittima accade mediante un dispositivo ed un browser alla rete internet, per navigare su un sito web generico;
Fase 3 – Il server host del sito web ricevete la richiesta partita dal browser dell’utente, la elabora e risponde;
Fase 4 – l’hacker intercetta la risposta del server del sito web e inserisce un codice in grado di compromettere la comunicazione inviata al browser dell’utente;
Fase 5 – Il browser web dell’utente riceve la risposta compromessa dall’hacker e, come se nulla fosse, inizia a comunicare con il sito web, creando un cookie che contiene peraltro le credenziali dell’utente per la sessione attiva;
Fase 6 – A questo punto l’hacker dispone di tutti gli elementi necessari per accedere al sito web come se fosse a tutti gli utenti l’utente che ha originato la richiesta, effettuando tutte le interazioni che sarebbero lecitamente consentite. L’hacker potrebbe inoltre avvalersi di tecniche contestuali per rendere più durevole l’attacco, senza doverlo riconfigurare ogni volta, ad esempio effettuando il cosiddetto cache poisoning, o avvelenamento della cache, che consente di sfruttare i cookie o altre informazioni relative alle sessioni di navigazione per accedere ripetutamente ai servizi intercettati.
Nel caso di un attacco Man in the Middle di questo genere, la vittima, se dispone di adeguate procedure di sicurezza, non si accorgerebbe assolutamente di nulla.
Sulla base dei dispositivi e delle infrastrutture informatiche coinvolte nello svolgimento degli attacchi Man in the Middle è possibile categorizzare una varietà di situazioni che prevede di fatto l’applicazione delle tecniche analizzate in precedenza, in cui sia presente almeno una fase di intercettazione e una fase di decriptaggio dei dati illegalmente sottratti ai legittimi possessori.
Man in the Wifi
La contraffazione di uno dei nodi di una rete Wi-Fi costituisce una delle modalità più diffuse per condurre attacchi Man in the Middle, grazie alle varie possibilità di manipolazione che, come abbiamo avuto modo di analizzare, consentono di agire sugli IP, sui domini e sui MAC Address interessati durante le comunicazioni in una LAN. Gli attacchi man in the Wi-Fi possono verificarsi molto di frequente manipolando le reti Wi-Fi pubbliche disponibili a libero accesso o quasi ormai in moltissime situazioni, attirando una grande quantità di utenti e dati.
Le intrusioni sono oltremodo semplici sfruttando molti errori di condotta e gestione, come il mantenimento delle password di default degli access point, oppure creando dei cloni molto simili ai servizi originali, dotati dello stesso nome e spesso agevolati da una connessione più stabile ed efficiente, cui il dispositivo degli utenti, se configurato per accedere automaticamente alle reti Wi-Fi disponibili, potrebbe dare assolutamente precedenza in termini di priorità di accesso. Se l’utente accede ad una rete Wi-Fi compromessa, nessuna comunicazione di dati può essere più considerata al sicuro dalla possibilità di venire intercettata, con le conseguenze che si possono facilmente immaginare.
Man in the Browser
L’attacco man in the browser si avvale di varie tecniche per installare un Malware Trojan sul dispositivo della vittima, in grado di innescare azioni malevole, come l’iniezione di un codice html in grado di contraffare la pagina autentica ed intercettare i dati di accesso ai servizi bancari. Dal momento che l’infezione avviene a livello della pagina web intesa quale documento, il suo dominio e il suo SSL non vengono coinvolti. Non si presenta pertanto nemmeno la necessità di doverli manipolare o bypassare con ulteriori azioni. È altrimenti conosciuto come attacco Banking Trojan.
Man in the Mobile
Il crescente impiego di dispositivi quali smartphone e tablet hanno stimolato l’azione degli hacker per la produzione di una minaccia specifica, costituita dall’attacco man in the mobile. Dal momento che gli utenti attivano un notevole traffico di dati a partire dai dispositivi mobile, i criminali puntano ad intercettare le informazioni contenute soprattutto durante le fasi di conferma delle procedure di autenticazione. Particolarmente ambiti sono i codici di conferma che gli utenti ricevono dai servizi durante lo svolgimento delle fasi di autenticazione multifattoriali. La modalità più semplice prevede l’intercettazione del traffico SMS, utilizzato dai provider per inviare i codici. Si tratta di una modalità di attacco Man in the Middle piuttosto ostica da contrastare, in quanto il servizio di base e la comunicazione tra l’utente e il provider non viene alterata. L’intercettazione avviene molto spesso clonando le schede SIM grazie a precedenti furti di identità o all’azione compiacente di alcuni provider locali di servizi Telco.
Man in the IoT
La Internet of Things, nelle sue varie declinazioni, che spaziano dalla smart home ai sistemi industriali (IIoT) sta aumentando in maniera vertiginosa il numero di device interconnessi alla rete, con le conseguenti vulnerabilità che ne derivano.
Nei sistemi domestici, gli attaccanti possono utilizzare la fragilità degli elettrodomestici IoT connessi in Wi-Fi, sfruttando la scarsa sicurezza delle loro autenticazioni per rubare le credenziali di accesso. È infatti frequente che tali dispositivi mantengano i login di default, piuttosto che non abilitino le auspicabili procedure di convalida dei certificati che sarebbero necessari per garantire la sicurezza dei sistemi IoT.
Nei sistemi industriali molti attacchi avvengono a livello OT, sfruttando sistemi di controllo non aggiornati, grazie alla presenza di impianti datati che dispongono ancora di sistemi operativi adeguati per garantirne il funzionamento, ma ormai totalmente fuori supporto per quanto riguarda la sicurezza informatica.
Man in the App
Uno dei principali vantaggi del mondo smartphone è stato quello di introdurre le app, che hanno di fatto ridotto ad un singolo dispositivo informatico un fabbisogno che in precedenza prevedeva l’impiego di molti strumenti fisici, decisamente poco dialoganti tra loro. Sebbene le app siano mediamente abbastanza sicure, in quanto soggette a stringenti procedure di controllo prima della disponibilità sui vari marketplace, è possibile condurre attacchi Man in the Middle quando l’applicazione stessa non è in grado di eseguire una corretta convalida del certificato.
L’hacker può infatti trovare il modo di inserire un certificato contraffatto per comunicare con il software in quelle circostanze in cui l’utente finale non tenderebbe assolutamente a sospettare di nulla, fidandosi di un’applicazione scaricata da un marketplace ufficiale.
Man in the Cloud
Gli attacchi man in the cloud sfruttano soprattutto il session hijacking per accedere i servizi cloud che le abilitano, in modo a garantirsi la disponibilità dei dati e dei file presenti in servizi quali Dropbox, OneDrive, Google Drive ecc. piuttosto che qualsiasi altro servizio in cloud pubblico. Gli hacker risultano attratti da questa attività in quanto gli storage in cloud consentono generalmente di accedere ad una grande quantità di dati, molti dei quali in genere riservati, oppure potrebbe utilizzarli per caricare un malware in grado di infettare il sistema in locale che vi accede, rendendolo ad esempio parte attiva di una botnet.
Come proteggersi
Dal momento che esistono varie situazioni e tipologie di attacchi Man in the Middle, sarà opportuno, di volta in volta, proteggersi nella maniera più adeguata, fermo restando il fatto che la maggior difficoltà risiede sempre nell’accorgersi di essere vittime di un’intercettazione. Una volta che tale circostanza viene rilevata, porvi rimedio è piuttosto semplice, ma ciò avviene quasi sempre quando l’attaccante è perfettamente riuscito nel suo intento e, come si suol dire, il danno è fatto.
La miglior azione possibile nei confronti di un attacco man in the middle è dunque di natura preventiva, attraverso la combinazione di una serie di cautele e strumenti che possono ridurre sensibilmente il rischio di rimanere vittime di determinate azioni.
- Utilizzo di VPN (Virtuale Private Network): consentono di creare dei tunnel che rendono di fatto invisibili e sicure le connessioni client/server, proteggendo il traffico di informazioni quali email, chat, pagamenti online, ecc. Le VPN sono mediamente più robuste rispetto alla semplice navigazione mediante protocollo https, in quanto prevedono un ulteriore livello di accesso al servizio. Diffidare sempre dall’utilizzo dei servizi VPN non privati, disponibili gratuitamente su internet e dalla provenienza non chiara, in quanto equivarrebbe a consegnare agli hacker direttamente le chiavi di accesso ai nostri dati.
- Utilizzo di un antivirus aggiornato: per quanto elementare, questa prassi consente ancora di rilevare e neutralizzare la maggior parte delle minacce provenienti dalla rete, soprattutto quando l’attacco Man in the Middle viene predisposto utilizzando un malware. Allo stesso modo, gli antivirus possono interagire con i browser rilevando facilmente le situazioni di falso dominio e di reindirizzamento su siti contraffatti.
- Assicurarsi che il browser disponga di tecnologie in grado di neutralizzare il SSL stripping, come la protezione HSTS (http strict transport security), che forza automaticamente il browser ad utilizzare una connessione https sicura, evitando sempre e comunque i siti che comunicano tramite il semplice http, la cui connessione non è dotata di crittografia SSL. La protezione HSTS consente inoltre di proteggere in gran parte dal furto dei cookie e dal dirottamento delle sessioni di navigazione;
- Gli utenti più accorti possono utilizzare strumenti di analisi dei protocolli di rete, ai fini di prevenire lo spoofing ARP, oppure uno strumento di analisi delle credenziali SSL di ogni sito presso cui si effettua l’accesso durante una sessione di navigazione;
- Adottare i criteri di condotta utili ad evitare gli attacchi phising, quindi non comunicare mai le nostre credenziali di accesso ai presunti servizi di chi dovrebbe già conoscerle, come nel caso dei servizi di internet banking piuttosto che dei pagamenti e-commerce;
- Evitare se possibile l’accesso alle reti Wi-Fi pubbliche e, qualora ciò non fosse possibile, limitare il più possibile gli accessi ai servizi, soprattutto quelle che prevedono i pagamenti online o lo scambio di dati sensibili;
- Aggiornare frequentemente le password di accesso ai servizi e cercare di utilizzare dei login differenti per ogni servizio, in modo che anche qualora l’hacker riuscisse a venirne in possesso, il suo raggio di azione sarebbe almeno in prima istanza piuttosto limitato. Evitare di riutilizzare le password impiegate in precedenza, in quanto potrebbe rimanere vittima di procedure di attacco automatizzate;
- Utilizzare sistemi di autenticazione multifattoriale, che prevedono la verifica dei dati di accesso in più passaggi, evitando se possibile la modalità SMS, privilegiando piuttosto la robustezza delle app più autorevoli. Tali azioni devono diventare una base culturale imprescindibile da parte degli utenti e dei provider dei servizi, che a loro volta, oltre ad implementare l’utilizzo dei sistemi di autenticazione multifattoriale, devono adeguatamente informare i loro clienti circa il fatto che una fonte genuina non richiederebbe mai i dati di accesso ai propri servizi, diffidando quindi a comunicarli a soggetti terzi, qualsiasi possa essere la motivazione alla base della loro richiesta.
