Cos'è un attacco man-in-the-middle in parole semplici?

Un attacco man-in-the-middle (MITM) si verifica quando un attaccante si posiziona segretamente tra due parti che credono di comunicare direttamente. L'attaccante può intercettare conversazioni, rubare credenziali, modificare dati in transito o iniettare contenuti malevoli. Esempi comuni includono l'intercettazione del traffico su Wi-Fi pubblici o il reindirizzamento di query DNS verso siti web fraudolenti.

Come si può rilevare un attacco man-in-the-middle?

I segnali di rilevamento includono avvisi imprevisti di certificati SSL/TLS nel browser, interruzioni improvvise della connessione seguite da riconnessioni, certificati sconosciuti durante l'ispezione delle connessioni HTTPS, velocità di rete più lente del normale e reindirizzamenti inaspettati. Strumenti come Wireshark possono rivelare ARP spoofing o pattern di traffico sospetti che indicano attività MITM.

L'HTTPS protegge dagli attacchi man-in-the-middle?

L'HTTPS fornisce una forte protezione contro gli attacchi MITM cifrando le comunicazioni e verificando l'identità del server tramite certificati. Tuttavia, non è infallibile. Gli attaccanti possono usare SSL stripping per declassare le connessioni a HTTP, sfruttare autorità di certificazione compromesse o ingannare gli utenti per accettare certificati non validi. HSTS e certificate pinning aggiungono ulteriori livelli di protezione.

Quali sono le tecniche comuni di attacco man-in-the-middle?

Le tecniche comuni includono ARP spoofing (avvelenamento delle tabelle degli indirizzi di rete), DNS spoofing (reindirizzamento delle ricerche di dominio), SSL stripping (declassamento da HTTPS a HTTP), Wi-Fi evil twin (creazione di punti di accesso falsi) e HTTPS spoofing (presentazione di certificati fraudolenti). Strumenti come Ettercap, Bettercap e mitmproxy sono utilizzati sia negli attacchi che nei test di sicurezza.

Cos'e un Attacco Man-in-the-Middle? Tipi e Prevenzione

Perche e Importante

Gli attacchi Man-in-the-Middle (MitM) rappresentano una minaccia fondamentale per le comunicazioni sicure. Posizionandosi tra le parti comunicanti, gli attaccanti possono intercettare dati sensibili, rubare credenziali, iniettare contenuti malevoli e impersonare parti legittime - il tutto rimanendo non rilevati.

L'attacco sfida l'assunzione fondamentale che le comunicazioni di rete siano private. Quando hai successo, tutto cio che trasmetti - password, messaggi, transazioni finanziarie - diventa visibile all'attaccante. Possono anche modificare i contenuti in tempo reale, alterando istruzioni o reindirizzando pagamenti.

Comprendere gli attacchi MitM e essenziale per i professionisti della sicurezza. I difensori devono implementare controlli che prevengano l'intercettazione. I penetration tester usano queste tecniche per valutare la sicurezza della rete. Gli incident responder devono riconoscere quando tali attacchi si verificano.

L'adozione diffusa di HTTPS ha significativamente ridotto le opportunita di MitM, ma gli attacchi rimangono rilevanti nelle reti locali, contro obiettivi che non applicano TLS correttamente e attraverso attacchi alla fiducia dei certificati.

Come Funzionano gli Attacchi MitM

L'attaccante stabilisce una posizione tra la vittima e la sua destinazione prevista:

Posizione Attacco Man-in-the-Middle

Vittima

Crede di parlare al Server

Attaccante (MitM)

Inoltra al reale

Server

Fasi dell'Attacco

Intercettazione: Redirige il traffico vittima attraverso il sistema dell'attaccante
Decrittografia: Bypassare o terminare la crittografia per accedere al contenuto
Modifica (opzionale): Alterare dati o iniettare contenuti
Reinoltro: Passare il traffico alla destinazione reale

Tecniche MitM Comuni

ARP Spoofing

Avvelena le tabelle ARP per associare il MAC dell'attaccante con IP legittimi.

arp-spoofing.sh

Bash


# Rilevamento ARP spoofing (solo test autorizzato)
# Cerca voci duplicate nella tabella ARP

arp -a | sort | uniq -d

# Arpwatch monitora i cambiamenti ARP
arpwatch -i eth0

# Strumenti attacco (solo lab autorizzato):
# - arpspoof
# - ettercap
# - bettercap

DNS Spoofing

Reindirizza i lookup DNS a server malevoli.

dns-spoofing.txt

Text


Traffico Normale:
Utente -> Query DNS: bank.com -> 203.0.113.50 (IP reale)
Utente -> Connette a 203.0.113.50

Con DNS Spoofing:
Utente -> Query DNS: bank.com -> 192.168.1.100 (IP attaccante)
Utente -> Connette a 192.168.1.100 (sito attaccante)
Attaccante -> Cattura credenziali

Rogue Access Point

Configura falsi hotspot Wi-Fi che imitano reti legittime.

Clonano nomi di reti popolari (Starbucks, Airport WiFi)
Gli utenti si connettono pensando sia legittimo
Tutto il traffico passa attraverso l'attaccante
Spesso combinato con portali captive per phishing

SSL Stripping

Effettua downgrade delle connessioni HTTPS a HTTP.

ssl-stripping.txt

Text


Come Funziona l'SSL Stripping:

1. La vittima richiede http://bank.com (non HTTPS)
2. Il server reindirizza a https://bank.com
3. L'attaccante intercetta la richiesta HTTP iniziale
4. L'attaccante stabilisce connessione HTTPS con la banca
5. L'attaccante serve HTTP alla vittima
6. La vittima vede HTTP non sicuro (puo non notarlo)
7. L'attaccante cattura credenziali in chiaro

Mitigazione: HSTS (HTTP Strict Transport Security)

HTTPS Spoofing

Crea certificati fraudolenti per siti bersaglio.

Richiede che la vittima ignori gli avvisi del certificato
O l'attaccante compromette un'autorita di certificazione
O l'attaccante installa certificato root malevolo

Scenari di Attacco Reali

Wi-Fi Pubblico

Le reti non crittografate negli aeroporti, coffee shop e hotel sono luoghi primari per MitM:

public-wifi-risks.txt

Text


Rischi Wi-Fi Pubblico:

Attacco Evil Twin:
- L'attaccante crea "Starbucks_WiFi_Free"
- Le vittime si connettono al falso access point
- Tutto il traffico intercettato

Sniffing Rete:
- Sulle reti aperte, il traffico e visibile
- HTTP, email non crittografata esposta
- Solo HTTPS protegge il contenuto

Mitigazioni:
- Usa VPN su Wi-Fi pubblico
- Verifica che HTTPS sia abilitato
- Evita transazioni sensibili
- Preferisci dati mobili quando possibile

Reti Aziendali

Attacchi MitM all'interno delle reti organizzative:

ARP spoofing nei segmenti di rete locali
Attacchi a LLMNR/NetBIOS per catturare hash
Relay NTLM per l'accesso Active Directory
Intercettazione BGP per reti piu grandi

Intersezione SSL/TLS

Alcuni gateway di sicurezza eseguono legittimamente ispezione TLS:

tls-inspection.txt

Text


Ispezione TLS Aziendale:

Scopo Legittimo:
- Prevenzione perdita dati
- Scansione malware traffico crittografato
- Applicazione policy di sicurezza

Come Funziona:
1. Il proxy aziendale termina le connessioni TLS
2. Ispeziona il contenuto
3. Ri-cripta per la destinazione
4. Richiede certificato aziendale installato

Preoccupazioni Sicurezza:
- Crea punto centrale vulnerabilita
- Puo esporre dati sensibili
- Implicazioni privacy
- Deve essere gestito con attenzione

Rilevamento

Indicatori di Rete

Cambiamenti tabella ARP inattesi
Avvisi certificato
Reindirizzamenti inaspettati
Latenza anomala
Anomalie risposte DNS

Indicatori Endpoint

Errori validazione certificato
HTTPS downgradato a HTTP
Warning browser inaspettati
Nuovi certificati root installati

Misure di Prevenzione

Per Individui

Usa VPN su reti non fidate
Verifica connessioni HTTPS
Non ignorare avvisi certificato
Evita Wi-Fi pubblico per attivita sensibili
Abilita autenticazione a due fattori

Per Organizzazioni

mitm-defenses.txt

Text


Difese Organizzative:

Livello Rete:
- Configurazioni switch sicure (port security)
- Rete 802.1X autenticata
- Segmentazione VLAN
- Monitoraggio/prevenzione ARP spoofing

Livello Applicazione:
- Applica HTTPS ovunque
- Implementa HSTS
- Certificate pinning per app critiche
- Disabilita fallback protocollo legacy

Endpoint:
- Gestione root certificati
- Educazione utenti su avvisi certificato
- Client VPN per accesso remoto

Controlli Tecnici

HSTS: Forza HTTPS, previene SSL stripping
Certificate Pinning: Accetta solo certificati specifici
DNSSEC: Firma crittografica DNS
Network Segmentation: Limita scope attacco

Rilevanza per la Carriera

I concetti MitM sono fondamentali per i ruoli di sicurezza di rete. I penetration tester usano queste tecniche; i difensori costruiscono protezioni contro di esse; gli analisti devono rilevare quando si verificano.

Ruoli Sicurezza di Rete (Mercato US)

Role	Entry Level	Mid Level	Senior
Network Security Analyst	65.000 USD	90.000 USD	120.000 USD
Penetration Tester	80.000 USD	110.000 USD	145.000 USD
Security Engineer	85.000 USD	115.000 USD	155.000 USD

Source: CyberSeek

Nel Bootcamp

Come Insegniamo Attacco Man-in-the-Middle

Nel nostro Programma di Cybersecurity, non imparerai solo la teoria su Attacco Man-in-the-Middle. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 10: Penetration Testing e Hacking Etico

Argomenti correlati che padroneggerai:MetasploitNmapBurp SuiteEscalation dei Privilegi

Scopri Come Lo Insegniamo

360+ ore di formazione guidata da esperti. 94% tasso di occupazione

Blog

Guide alla Carriera

Glossario

Certificazioni

Confronti

Strumenti

Autori

Formazione Aziendale

Assumi i Nostri Talenti

Attacco Man-in-the-Middle

Perche e Importante

Come Funzionano gli Attacchi MitM

Fasi dell'Attacco

Tecniche MitM Comuni

ARP Spoofing

DNS Spoofing

Rogue Access Point

SSL Stripping

HTTPS Spoofing

Scenari di Attacco Reali

Wi-Fi Pubblico

Reti Aziendali

Intersezione SSL/TLS

Rilevamento

Indicatori di Rete

Indicatori Endpoint

Misure di Prevenzione

Per Individui

Per Organizzazioni

Controlli Tecnici

Rilevanza per la Carriera

Ruoli Sicurezza di Rete (Mercato US)

Come Insegniamo Attacco Man-in-the-Middle