Attacco informatico “man in the middle” conoscerlo per evitarlo!

di Giovanni Finetto e Paola Finetto

È molto comodo lavorare da remoto, magari in un parco o in un centro commerciale o seduti al bar, accedendo al wi-fi pubblico e gratuito. Tuttavia, collegarsi ad una rete wi-fi pubblica, soprattutto se priva di un controllo degli accessi logici e, dunque, senza password di accesso, può esporre ad un attacco informatico noto come attacco “man in the middle”. Si tratta di una tecnica di attacco che permette al criminale informatico di inserirsi nel dispositivo della vittima e di intercettare tutti i dati relativi al suo account. L’“uomo nel mezzo” è un terzo soggetto che si inserisce illegittimamente in una connessione tra due utenti o due dispositivi: il criminale si mette letteralmente nel mezzo tra un client (la vittima) e il server o router. In questo modo, l’hacker riesce a intercettare i messaggi inviati e ricevuti, ma ha pure la possibilità di modificarli, alterarli o, addirittura, fingersi una delle due parti.
Si è di fronte a un attacco molto pericoloso, perché la vittima normalmente non lo percepisce. È un attacco insidioso, subdolo, che può essere sferrato su internet, oppure all’interno di una rete locale o di una rete domestica wi-fi o, ancora, durante l’accoppiamento di due dispositivi bluetooth, se non, addirittura, durante un pagamento tramite POS e carta contactless. Tipico è l’attacco veicolato con compromissione delle reti wi-fi, in particolare delle reti pubbliche, come quelle che si trovano negli aeroporti, negli hotel o nei bar, ma anche in parchi pubblici. In ogni caso, i criminali possono sfruttare diverse modalità per “mettersi nel mezzo”: ad esempio, creando un nodo wi-fi simile a quello originale ma falso (chiamato “gemello cattivo”), in grado di trarre in inganno e di indurre l’utente ad accedere, oppure semplicemente modificando la password del wi-fi domestico per ottenerne l’accesso (tanto più che, tendenzialmente, la password della rete wi-fi di casa non viene mai reimpostata dagli utenti, i quali mantengono quella originaria “di fabbrica”, agevolmente rintracciabile dagli hacker!). Sono peraltro frequenti anche gli attacchi cosiddetti “man in the browser”, nel qual caso l’attacco viene lanciato servendosi di un malware: solitamente – ed è questo il caso del cosiddetto banking trojan – il malware viene installato sul dispositivo della vittima, con la possibilità di modificare le transazioni online eseguite, tipicamente le transazioni bancarie, dirottando denari su altri conti correnti.
Il rapporto Enisa Threat Landscape 2021, pubblicato a ottobre 2021 e riferito al periodo aprile 2020 – luglio 2021, segnala l’aumento significativo degli attacchi hacker anche di questa tipologia. Il cybercrime rappresenta, ad oggi, una delle minacce più insidiose a livello globale, con un incremento su base annua sempre maggiore, che impone azioni preventive e difensive importanti. Si tratta di un fenomeno che colpisce sia le grandi che le medie e piccole imprese e che, per questo, colpisce il sistema economico di tutto il Paese. Come rilevato da Enisa nel sopra citato report1, con lo smart working i fattori di rischio cyber sono aumentati significativamente: lavorando all’esterno del perimetro monitorato delle aziende, siamo tutti naturalmente più esposti ai rischi di attacco informatico. I pirati informatici sono sempre pronti a sfruttare la minima disattenzione per entrare in possesso di dati particolari, know-how, account riservati, per farne un commercio illegale nel dark web.
Contro gli attacchi “man in the middle”, la difesa migliore e più efficace è la prudenza: in particolare, è necessario evitare di connettersi a hot-spot pubblici e, nel caso in cui fosse strettamente necessaria una connessione e non fosse disponibile una connessione wi-fi sicura, meglio usare il proprio smartphone come hot-spot mobile. Inoltre, contro gli attacchi “man in the middle” basati su malware (si pensi al caso del banking trojan), la prudenza impone di installare, anche sul proprio smartphone, un antivirus efficace (meglio evitare gli antivirus free!) e mantenere comunque sempre aggiornato il relativo sistema operativo.
Non si deve peraltro dimenticare che un attacco “man in the middle” sferrato ad un’azienda potrebbe comportare un data breach rilevante ai sensi degli articoli 33 e 34 del Gdpr. Purtroppo, il rischio cyber può essere gestito e ridotto ma non può essere completamente neutralizzato; il rischio residuo è connaturato allo stesso sviluppo tecnologico. È dunque necessario adottare un approccio organico e multidisciplinare nella gestione del rischio, con la consapevolezza che la sicurezza è patrimonio e responsabilità di tutti, non solo degli specialisti.
Gli attacchi “man in the middle” non sono certo una novità: già nel febbraio 2013 il Garante privacy chiedeva alla società californiana WhatsApp Inc., che fornisce il servizio WhatsApp, di comunicare ogni informazione utile per valutare il rispetto della privacy degli utenti italiani, con particolare riferimento alle misure di sicurezza adottate per prevenire attacchi tipo “man in the middle”, volti ad acquisire illecitamente il contenuto dei messaggi scambiati mediante l’applicazione. Questa tecnica di attacco è sopravvissuta a molteplici sistemi di prevenzione e di difesa ed è tuttora particolarmente insidiosa. Lo stesso Garante privacy non la sottovaluta. Lo scorso 8 luglio, nel parere indirizzato al ministero dell’interno su uno schema di decreto, per la modifica del decreto ministeriale 7 gennaio 2013, in materia di comunicazione alle autorità di pubblica sicurezza dell’arrivo delle persone alloggiate in strutture ricettive, il Garante ha affrontato, ancora una volta, il rischio di attacchi “man in the middle”, al riguardo precisando quanto segue: “Allo scopo di scongiurare attacchi di tipo man-in-the-middle, volti ad acquisire in modo malevolo i dati forniti dalle strutture ricettive, è necessario prevedere la cifratura, mediante crittografia asimmetrica, dei dati inviati in modalità “massiva” tramite il file testuale, rendendo disponibile la chiave pubblica di cifratura sul portale”2.
Un’azienda dotata di diverse reti wireless al suo interno porta con sé un potenziale di attacco maggiore, perché amplia il perimetro logico della sua organizzazione. Dai punti di accesso non autorizzati, agli algoritmi di crittografia deboli, le minacce per le reti wireless sono numerose.
La rete wireless rappresenta una via di più facile accesso rispetto ad una rete cablata standard, diventando il punto di ingresso ideale per un hacker.
Inoltre, il traffico della rete wireless è facile da tracciare. Gli hacker sono in grado di raccogliere informazioni proprietarie, credenziali di accesso, password, indirizzi di server intranet e indirizzi di rete validi. Possono infiltrarsi nella rete, trasmettere spam, o usarla come punto intermedio per lanciare un attacco informatico.
Utilizzando l’account di accesso, possono catturare e modificare il traffico, con conseguenze legali ed economiche.
La tecnologia wi-fi può fornire agli hacker l’opportunità di infiltrarsi nell’ambiente protetto dell’organizzazione, indipendentemente dai controlli di accesso esistenti. Ecco perché sono consigliati i penetration test della rete wireless: permettono di identificare i punti deboli della rete e, nello specifico, un test della rete wireless:

  • identifica le reti wi-fi, verificando l’assenza di perdite di dati o di segnale;
  • analizza la presenza di punti deboli nella crittografia, come l’encryption cracking, il wireless sniffing e la session hijacking;
  • identifica le opportunità di intrusione nella rete tramite wireless o di elusione dei controlli di accesso Wlan;
  • identifica le identità e le credenziali di accesso degli utenti per accedere alle reti e ai servizi che altrimenti sarebbero riservati.

Al termine del test, l’azienda riceve un report completo e dettagliato sulle vulnerabilità individuate, di facile comprensione sia da parte del team tecnico che manageriale. Le informazioni contenute nel report permetteranno all’azienda di prendere le decisioni migliori circa la risoluzione delle vulnerabilità e dei problemi emersi sulla base della propria propensione al rischio e al budget disponibile.
I vantaggi di un test della rete wireless sono i seguenti:

  • ottenere informazioni dettagliate e realistiche sulle vulnerabilità della rete;
  • individuare i router wi-fi predefiniti;
  • identificare i punti di accesso aperti;
  • identificare le reti configurate in modo errato o duplicate in modo accidentale;
  • segnalare le vulnerabilità della tecnologia bluetooth;
  • identificare gli standard di crittografia wireless non sicuri (come Wep).

Questi test emulano le tecniche e sfruttano gli strumenti di attacco utilizzati dai criminali informatici.
Sono normalmente suddivisi in:

  • esame iniziale: prima del test, il team discuterà i requisiti della rete wireless per definire l’ambito del test;
  • esplorazione: in questa fase, il team di esperti di sicurezza identifica ed elenca tutti i punti di accesso alla rete wireless all’interno del perimetro;
  • valutazione: utilizzando le informazioni identificate nella fase precedente, il team testa la rete alla ricerca di vulnerabilità;
  • comunicazione dei risultati: al termine del test, i risultati saranno analizzati e riassunti in un report completo che definisce lo scopo del test, la metodologia di attacco utilizzata e tutti i rischi e le vulnerabilità individuate.

Ricordiamoci dunque: la riduzione della superficie di attacco cyber diminuisce le probabilità di essere attaccati e complica di molto la vita agli attori malevoli!

  1. During the pandemic, organisations were forced to change their strategies and quickly adopt technologies that would support the new reality of remote working. This allowed cybercrime adversaries to take advantage of the rapid deployment of these teleworking technologies and exploit them for initial access (https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021). ↩︎
  2. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9690786 ↩︎
NEWS

I PIÙ LETTI

Load more