Quando si parla della sicurezza delle reti, di Internet e delle connessioni tra due dispositivi uno dei rischi che si cita più spesso è quello dell'attacco "man in the middle" (MITM) (letteralmente "uomo nel mezzo"). Un attacco MITM, infatti, può essere sferrato all'interno di una rete locale, di una rete domestica Wi-Fi, su Internet, durante l'accoppiamento di due dispositivi Bluetooth e persino durante un pagamento tramite Pos e carta contacless.
Con man in the middle, infatti, si intendono diversi tipi di attacchi ma tutti accomunati dalla stessa caratteristica: c'è una connessione tra due utenti o due dispositivi, legittima, e un terzo soggetto che si mette illegittimamente "in the middle", cioè nel mezzo. Questo tipo di attacco è molto pericoloso perché, inserendosi tra i due dispositivi che comunicano tra di loro, l'attaccante può spiare il traffico dati che i due "nodi" si stanno scambiando in quel momento, modificare i dati in transito e persino riuscire a fare le veci di uno dei due dispositivi o utenti senza che l'altro se ne accorga.
Sarebbe come se, durante una conversazione via chat con un vostro amico, una terza persona si interponesse tra voi e l'amico e potesse leggere tutto quello che vi scrivete senza che ve ne accorgiate, potendo a quel punto anche modificare le frasi che vi scambiate (ad esempio sostituendo i vostri cordiali saluti con degli insulti gratuiti) oppure ancora rispondere in vece del vostro amico, senza che voi abbiate alcuna evidenza del fatto che non si tratti effettivamente del vostro conoscente.
Attacchi MITM: i casi tipici
Il tipo di attacco MITM più diffuso è quello all'interno di una rete Wi-Fi pubblica non crittografata, come quelle degli aeroporti, dei bar o di altri esercizi commerciali. Un utente malintenzionato, utilizzando uno strumento gratuito come Wireshark, può infiltrarsi nella rete e leggere tutti i pacchetti di dati scambiati. Nel caso meno grave, quindi, può spiarci.
Questo tipo di attacco è diventato meno frequente negli ultimi anni, grazie all'adozione del protocollo di rete HTTPS che, a differenza del precedente HTTP, è sicuro (da qui la S finale) perché è crittografato. Nella migliore delle ipotesi, per l'attaccante, con un attacco man in the middle durante una trasmissione HTTPS si possono ottenere una manciata di dati illeggibili. Ma neanche l'HTTPS è sicuro al 100%, perché adottando diverse tecniche l'attaccante può, dopo essersi "messo in mezzo", costringere i dispositivi a usare un protocollo di rete non criptato.
Un altro tipo di attacco MITM è il cosiddetto "ARP Cache Poisoning": l'attaccante tenta di associare il proprio indirizzo MAC con l'indirizzo IP di qualcun altro. Se ci riesce, allora prende le sembianze dell'altro utente e tutti i dati destinati alla vittima vengono trasmessi all'attaccante. Lo spoofing DNS è un tipo di attacco man in the middle simile a quello appena descritto: utilizzando questa tecnica il cybercriminale può deviare le legittime richieste di accesso ad un sito, fatte da un utente soggetto al suo attacco, verso un secondo sito fasullo che controlla e in questo modo acquisire dati personali dell'utente o distribuire malware. Il DNS, infatti, è il servizio che traduce gli indirizzi Web digitati dagli internauti nei corrispondenti indirizzi IP che indentificano ogni singolo nodo (server web, computer, stampante, webcam, ecc.) presente in Internet. Se l'attaccante riesce a modificare i server DNS a cui si collega l'utente può, in pratica, spedirlo dove vuole.
Infine, c'è un tipo di attacco MITM che potrebbe sembrare banale, ma purtroppo funziona quasi sempre: l'attaccante crea un falso Access Point (spesso dal nome simile ma non uguale a quello legittimo) per creare un ponte tra l'utente e il router della rete Wi-Fi. Sembra strano, ma la gente ci casca quasi sempre e si connette all'Access Point fasullo aprendo così le porte del suo dispositivo all'hacker.
Malware e attacchi man in the middle
È possibile sferrare un attacco MITM servendosi di un malware. In questo caso si parla di attacco "man in the browser" perché l'hacker, tramite il virus, infetta proprio il software di navigazione sul Web (di solito tramite una estensione del browser stesso). Se il browser è compromesso l'attaccante potrebbe manipolare una pagina web per mostrare qualcosa di diverso rispetto al sito originale. Potrebbe anche dirottare l'utente su siti web fasulli che simulano pagine bancarie o social media in modo da impossessarsi delle chiavi di accesso così diffondere messaggi di spam o addirittura rubare soldi. Un caso del genere è già successo con il trojan SpyEye, che è stato utilizzato come keylogger per rubare le credenziali per i siti Web. SpyEye è stato sviluppato in Russia nel 2009 ed è stato diffuso tramite estensioni per i browser Google Chrome, Firefox, Internet Explorer e Opera.
Come proteggersi dagli attacchi MITM
La prima difesa contro gli attacchi MITM è la prudenza: bisogna sempre evitare di connettersi a hot-spot pubblici, perché molto spesso si tratta di reti Wi-Fi con misure di sicurezza minime o addirittura senza alcuna crittografia. Se proprio ci troviamo fuori casa e ci serve una connessione, molto meglio usare lo smarphone come hot-spot mobile.
Usare una VPN, invece, è una soluzione tecnica abbastanza efficace contro un attacco man in the middle perché le reti private virtuali provvedono ad applicare una propria crittografia a tutto il traffico veicolato. Naturalmente la sicurezza di una VPN è direttamente proporzionale alla serietà e all'efficienza del provider che te la fornisce. Ma se usi il computer aziendale anche come PC personale, e il tuo datore di lavoro ti offre una VPN per connetterti quando non sei in ufficio, dovresti assolutamente utilizzarla.
Per proteggersi dagli attacchi MITM basati su malware, invece, la cosa importante è non installare malware (è scontato, ma è così). Usare una buona suite di sicurezza elettronica e tenere sempre aggiornato l'antivirus è quindi fondamentale per minimizzare questo tipo di rischi.
Sei sicuro di proteggere davvero i tuoi dati e i tuoi dispositivi connessi online? Scarica il nostro ebook gratuito per conoscere i trucchi e i consigli per aumentare la tua sicurezza in rete.