Attacco Man-in-the-Middle

Perche e Importante

Gli attacchi Man-in-the-Middle (MitM) rappresentano una minaccia fondamentale per le comunicazioni sicure. Posizionandosi tra le parti comunicanti, gli attaccanti possono intercettare dati sensibili, rubare credenziali, iniettare contenuti malevoli e impersonare parti legittime - il tutto rimanendo non rilevati.

L'attacco sfida l'assunzione fondamentale che le comunicazioni di rete siano private. Quando hai successo, tutto cio che trasmetti - password, messaggi, transazioni finanziarie - diventa visibile all'attaccante. Possono anche modificare i contenuti in tempo reale, alterando istruzioni o reindirizzando pagamenti.

Comprendere gli attacchi MitM e essenziale per i professionisti della sicurezza. I difensori devono implementare controlli che prevengano l'intercettazione. I penetration tester usano queste tecniche per valutare la sicurezza della rete. Gli incident responder devono riconoscere quando tali attacchi si verificano.

L'adozione diffusa di HTTPS ha significativamente ridotto le opportunita di MitM, ma gli attacchi rimangono rilevanti nelle reti locali, contro obiettivi che non applicano TLS correttamente e attraverso attacchi alla fiducia dei certificati.

Come Funzionano gli Attacchi MitM

L'attaccante stabilisce una posizione tra la vittima e la sua destinazione prevista:

Fasi dell'Attacco

1. Intercettazione: Redirige il traffico vittima attraverso il sistema dell'attaccante
2. Decrittografia: Bypassare o terminare la crittografia per accedere al contenuto
3. Modifica (opzionale): Alterare dati o iniettare contenuti
4. Reinoltro: Passare il traffico alla destinazione reale

Tecniche MitM Comuni

ARP Spoofing

Avvelena le tabelle ARP per associare il MAC dell'attaccante con IP legittimi.

DNS Spoofing

Reindirizza i lookup DNS a server malevoli.

Rogue Access Point

Configura falsi hotspot Wi-Fi che imitano reti legittime.

• Clonano nomi di reti popolari (Starbucks, Airport WiFi)
• Gli utenti si connettono pensando sia legittimo
• Tutto il traffico passa attraverso l'attaccante
• Spesso combinato con portali captive per phishing

SSL Stripping

Effettua downgrade delle connessioni HTTPS a HTTP.

HTTPS Spoofing

Crea certificati fraudolenti per siti bersaglio.

• Richiede che la vittima ignori gli avvisi del certificato
• O l'attaccante compromette un'autorita di certificazione
• O l'attaccante installa certificato root malevolo

Scenari di Attacco Reali

Wi-Fi Pubblico

Le reti non crittografate negli aeroporti, coffee shop e hotel sono luoghi primari per MitM:

Reti Aziendali

Attacchi MitM all'interno delle reti organizzative:

• ARP spoofing nei segmenti di rete locali
• Attacchi a LLMNR/NetBIOS per catturare hash
• Relay NTLM per l'accesso Active Directory
• Intercettazione BGP per reti piu grandi

Intersezione SSL/TLS

Alcuni gateway di sicurezza eseguono legittimamente ispezione TLS:

Rilevamento

Indicatori di Rete

• Cambiamenti tabella ARP inattesi
• Avvisi certificato
• Reindirizzamenti inaspettati
• Latenza anomala
• Anomalie risposte DNS

Indicatori Endpoint

• Errori validazione certificato
• HTTPS downgradato a HTTP
• Warning browser inaspettati
• Nuovi certificati root installati

Misure di Prevenzione

Per Individui

• Usa VPN su reti non fidate
• Verifica connessioni HTTPS
• Non ignorare avvisi certificato
• Evita Wi-Fi pubblico per attivita sensibili
• Abilita autenticazione a due fattori

Per Organizzazioni

Controlli Tecnici

• HSTS: Forza HTTPS, previene SSL stripping
• Certificate Pinning: Accetta solo certificati specifici
• DNSSEC: Firma crittografica DNS
• Network Segmentation: Limita scope attacco

Rilevanza per la Carriera

I concetti MitM sono fondamentali per i ruoli di sicurezza di rete. I penetration tester usano queste tecniche; i difensori costruiscono protezioni contro di esse; gli analisti devono rilevare quando si verificano.