Come funziona l'attacco Man in the Middle (MitM)
Per eseguire un attacco MitM, l'attaccante deve raggiungere due obiettivi. In primo luogo, devono inserirsi nella comunicazione in un modo che consenta loro di intercettare il traffico durante il percorso verso la destinazione. Alcuni dei modi in cui un aggressore potrebbe ottenere questo risultato includono:
- Wi-Fi maligno: Tutto il traffico W-Fi passa attraverso un punto di accesso wireless (AP), quindi un aggressore che controlla un AP wireless e può ingannare gli utenti per farli connettere, può intercettare tutto il loro traffico.
- Spoofing ARP: Il protocollo di risoluzione degli indirizzi (ARP) viene utilizzato per mappare gli indirizzi IP sugli indirizzi MAC. Utilizzando messaggi ARP falsi, un aggressore mappa l'indirizzo IP dell'obiettivo sul suo indirizzo MAC, facendo sì che il traffico dell'obiettivo venga inviato a lui.
- Spoofing DNS: Il Domain Name System (DNS) mappa i nomi di dominio con gli indirizzi IP. L'avvelenamento di una cache DNS con record DNS falsi può far sì che il traffico verso il dominio di destinazione venga indirizzato all'indirizzo IP dell'attaccante.
- Hijacking BGP: Il protocollo Border gateway (BGP) viene utilizzato per identificare il sistema autonomo (AS) con il miglior percorso verso un determinato indirizzo IP. L'hijacking BGP comporta la pubblicizzazione di un percorso falso per far fluire un certo traffico attraverso i sistemi dell'attaccante.
Una volta nel mezzo di una comunicazione, l'aggressore deve essere in grado di leggere i messaggi; tuttavia, una percentuale significativa del traffico Internet viene crittografata utilizzando SSL/TLS. Se il traffico è crittografato, la lettura e la modifica dei messaggi richiede la capacità di falsificare o interrompere la connessione SSL/TLS.
Questo può essere realizzato in diversi modi. Se un aggressore riesce a ingannare l'utente e a fargli accettare un certificato digitale falso per un sito, allora l'aggressore sarebbe in grado di decriptare il traffico del cliente e leggerlo o modificarlo prima di inviarlo al server. In alternativa, un aggressore può infrangere la sicurezza della sessione SSL/TLS utilizzando attacchi di SSL stripping o downgrade.
Esempi di attacchi Man-in-the-Middle
Gli attacchi MitM possono essere eseguiti in vari modi, che dipendono dal protocollo attaccato e dall'obiettivo dell'attaccante. Ad esempio, l'esecuzione di un attacco MitM è più facile quando il flusso di comunicazione non è criptato e quando l'aggressore si trova naturalmente sul percorso che seguirà il traffico target.
Scenario 1: Applicazione IoT/Mobile vulnerabile
L'utente medio è stato istruito su come determinare se la sua sessione di navigazione web è crittografata in base all'icona https e al lucchetto nella barra degli URL. Tuttavia, verificare che i flussi di dati siano criptati è più difficile con le applicazioni mobili e l'Internet of Things (dispositivo IoT). Non è raro che questi abbiano una scarsa sicurezza e che utilizzino protocolli non criptati, come Telnet o HTTP, per comunicare.
In questo caso, un aggressore può facilmente leggere e potenzialmente modificare i dati che scorrono tra l'app mobile o il dispositivo IoT e il server. Utilizzando un punto di accesso wireless o una forma di spoofing, l'aggressore può inserirsi nel flusso di comunicazione in modo che tutto il traffico passi attraverso di lui. Poiché questi protocolli non prevedono controlli integrati per l'integrità o l'autenticità dei dati, l'aggressore può modificare il contenuto del traffico a suo piacimento.
Scenario 2: Certificati digitali falsi
SSL/TLS è progettato per proteggere dagli attacchi MitM, fornendo riservatezza, integrità e autenticazione al traffico di rete. Tuttavia, si basa sul fatto che l'utente accetti solo i certificati digitali validi per un determinato dominio. Se l'aggressore riesce a ingannare l'utente e a fargli visitare un sito di phishing, a convincerlo ad accettare un certificato falso o a compromettere il certificato digitale che un'azienda utilizza per l'ispezione SSL, queste protezioni vengono meno.
In questo scenario, l'aggressore mantiene due sessioni separate crittografate con SSL/TLS. In uno, si connette al cliente mascherandosi da server e utilizzando il suo falso certificato SSL. Nell'altro, si finge un cliente che si connette al server legittimo. Dal momento che l'aggressore controlla entrambe le sessioni, può decriptare i dati di una sessione, ispezionarli e modificarli, e crittografarli nuovamente per l'altra sessione.
Prevenzione degli attacchi Man-in-the-Middle
Gli attacchi MitM dipendono dalla capacità dell'aggressore di intercettare e leggere il traffico. Alcune best practice per la sicurezza di Internet per evitare che ciò accada includono:
- Attenzione al Wi-Fi pubblico: il traffico sul Wi-Fi pubblico passa tutto attraverso l'AP, che potrebbe essere sotto il controllo di un aggressore. Si colleghi solo a reti Wi-Fi conosciute e affidabili.
- Utilizzare una VPN: le reti private virtuali (VPN) criptano il traffico tra un utente o un sito remoto e l'endpoint VPN. Questo impedisce a un attaccante MitM di leggere o modificare il traffico intercettato.
Convalidare i certificati digitali: Un sito web legittimo dovrebbe sempre avere un certificato digitale che viene visualizzato come valido nel browser. Affidarsi a un certificato sospetto potrebbe consentire un attacco MitM.
Proteggersi dal MITM con Check Point
Le VPN di accesso remoto di Check Point possono aiutare a proteggere i dipendenti remoti dagli attacchi MitM e da altri cyberattacchi. Per saperne di più sulle minacce informatiche che la sua organizzazione deve affrontare, consulti il Rapporto 2023 Cyber Security . Poi, partecipi al Security Checkup gratuito per scoprire come la sua organizzazione può migliorare la sua posizione di sicurezza.
Feedback