Loading AI tools
tipologia di attacco informatico Da Wikipedia, l'enciclopedia libera
Attacco man in the middle (spesso abbreviato in MITM, MIM, MIM attack o MITMA, in italiano "uomo nel mezzo") è una terminologia impiegata nella crittografia e nella sicurezza informatica per indicare un attacco informatico in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro.[1]
Ad esempio un attacco man in the middle è l'eavesdropping, in cui l'attaccante crea connessioni indipendenti con le vittime e ritrasmette i messaggi del mittente facendo credere loro che stiano comunicando direttamente tramite una connessione privata, con l'intera conversazione che è controllata invece dal malintenzionato in grado di intercettare tutti i messaggi importanti e/o iniettarne di nuovi. In molte circostanze questo è semplice, per esempio, un attaccante all'interno di un WI-FI access point non criptato, può inserire se stesso come "uomo nel mezzo"[2]. Altro tipo di attacco man in the middle è lo spoofing.
L'attacco può funzionare solo se nessuna delle due parti è in grado di sapere che il collegamento che li unisce reciprocamente è stato effettivamente compromesso da una terza parte, cosa di cui potrebbero venire a conoscenza comunicando con un canale diverso non compromesso. La maggior parte dei protocolli di crittografia includono una qualche forma di autenticazione endpoint specificamente per prevenire attacchi MITM. Ad esempio, TLS può autenticare una o entrambe le parti utilizzando una Certificate authority reciprocamente attendibile[3].
Supponiamo che Alice voglia comunicare con Bob e che Mallory voglia spiare la conversazione e, se possibile, consegnare a Bob dei falsi messaggi. Per iniziare, Alice deve chiedere a Bob la sua chiave pubblica. Se Bob invia la sua chiave pubblica ad Alice, ma Mallory è in grado di intercettarla, può iniziare un attacco Man in the middle. Mallory può semplicemente inviare ad Alice una chiave pubblica della quale possiede la corrispondente chiave privata. Alice poi, credendo che questa sia la chiave pubblica di Bob, cifra i suoi messaggi con la chiave di Mallory ed invia i suoi messaggi cifrati a Bob. Mallory quindi li intercetta, li decifra, ne tiene una copia per sé, e li re-cifra (dopo averli alterati se lo desidera) usando la chiave pubblica che Bob aveva originariamente inviato ad Alice. Quando Bob riceverà il messaggio cifrato, crederà che questo provenga direttamente da Alice.
Questo esempio[4] mostra la necessità per Alice e Bob di avere un modo per garantire che essi stiano utilizzando le rispettive chiavi pubbliche, piuttosto che quella di un attaccante. Tali attacchi sono generalmente possibili contro ogni comunicazione che utilizzi la tecnologia a chiave pubblica. Fortunatamente, esiste una varietà di tecniche per difendersi contro gli attacchi MITM.
Dallo sniffing del traffico di rete, di ciò che è sospettato essere un attacco MITM, si può analizzare e determinare se è stato davvero un attacco MITM o meno. Prove importanti da analizzare durante le analisi forensi di rete di un sospetto attacco MITM TLS sono[5]:
Tutti i sistemi crittografici che siano sicuri contro attacchi MITM richiedono uno scambio o una trasmissione aggiuntiva di informazioni su un canale protetto. Infatti sono stati sviluppati molti metodi di key agreement, con diversi requisiti di sicurezza per il canale protetto.
Varie difese contro attacchi MITM utilizzano tecniche di autenticazione che includono:
L'integrità delle chiavi pubbliche deve generalmente essere assicurata in qualche modo, ma non deve essere un segreto. Le password e le chiavi segrete condivise hanno degli obblighi di riservatezza supplementari. Le chiavi pubbliche possono essere verificate da un'autorità di certificazione, la cui chiave pubblica viene distribuita attraverso un canale sicuro (per esempio, con un browser web o l'installazione del sistema operativo). Le chiavi pubbliche possono essere verificate da una web of trust (rete di fiducia) che distribuisce chiavi pubbliche attraverso un canale sicuro (ad esempio da incontri faccia a faccia).
Per una classificazione di protocolli che utilizzano diverse forme di chiavi e password per prevenire gli attacchi MITM si suggerisce di vedere il key-agreement protocol.
I protocolli di crittografia quantistica tipicamente autenticano parte, o tutta, la loro comunicazione classica con uno schema di autenticazione sicuro incondizionato[7].
Mentre questo esempio è focalizzato sull'attacco del MITM in un contesto crittografico, il MITM dovrebbe essere visto come un problema più generale risultante da un qualsiasi uso di intermediari che agiscono come delegati di una delle parti. A seconda dell'affidabilità degli intermediari si potrebbe instaurare un certo grado di fiducia nella riservatezza delle proprie comunicazioni.
Per esempio un notevole attacco MITM non-crittografico è stato perpetrato da un router Belkin di rete wireless nel 2003. Prendeva regolarmente il posto di più connessioni HTTP che venivano instradate attraverso di esso (questo farebbe fallire il passaggio del traffico verso la destinazione, ma riuscirebbe a rispondere come fosse il server destinatario), la risposta inviata, al posto della pagina web richiesta dall'utente, era una pagina pubblicitaria per un altro prodotto Belkin. Dopo una protesta da parte degli utenti più esperti, questa "caratteristica" è stata rimossa dalle versioni successive del firmware del router[8].
Oppure, nel 2013, il browser Xpress della Nokia è stato scoperto decifrare traffico HTTPS sui proxy server della Nokia stessa, dando alla società accesso a testo in chiaro del traffico cifrato dei suoi clienti. Nokia ha risposto affermando che il contenuto non è stato memorizzato in modo permanente e che la società ha adottato misure organizzative e tecniche per impedire l'accesso a informazioni private[9].
Note implementazioni di attacchi MITM sono le seguenti:
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.