Attacco attivo man-in-the-middle (MitM)

Cos'è un attacco man-in-the-middle attivo?

Active man-in-the-middle (MitM) è un metodo di attacco che consente a un intruso di accedere a informazioni sensibili intercettando e alterando le comunicazioni tra l'utente di una rete pubblica e qualsiasi sito web richiesto.

Evitare l'accesso a siti sensibili da posizioni pubbliche può proteggere l'utente dai tradizionali attacchi man-in-the-middle. Tuttavia, in un attacco MitM attivo, l'autore manipola le comunicazioni in modo tale da poter rubare informazioni per i siti a cui si accede in altri momenti. L'autore dell'attacco può quindi utilizzare tali informazioni per furti di identità o altri tipi di frode.

Un MitM attivo può essere condotto in diversi modi. Ecco un metodo:

  1. L'aggressore ascolta le comunicazioni trasmesse su una rete pubblica.
  2. La vittima accede a Internet tramite la rete e naviga in un sito Web innocuo, come un sito di notizie mainstream.
  3. Il server del sito web elabora la richiesta e risponde ad essa.
  4. L'aggressore intercetta la risposta inviata dal server e interpone un oggetto IFrame mirato al sito prescelto.
  5. Quando il browser dell'utente riceve la risposta compromessa, richiede invisibilmente quel sito Web insieme al cookie che memorizza le credenziali dell'utente per il sito.
  6. Questa risposta consente all'autore dell'attacco di accedere al sito e di interagire in qualsiasi modo possibile per l'utente valido.

L'attaccante può anche utilizzare l'avvelenamento della cache per prolungare l'attacco.

Roi Saltzman e Adi Sharabani hanno riferito di attacchi man-in-the-middle attivi nel febbraio 2009. Sebbene i ricercatori sottolineano che non è possibile proteggersi completamente dagli attacchi MitM attivi, offrono una serie di suggerimenti per una navigazione più sicura. Saltzman e Sharabani consigliano di eliminare tutti i cookie e i file di cache prima di connettersi a una rete pubblica. Ciò dovrebbe significare che non ci sono dati che un utente malintenzionato possa rubare. Quando ci si disconnette dalla rete pubblica, è necessario ripetere il processo in modo che tutti i dati sospetti generati durante la sessione vengano rimossi. I ricercatori consigliano inoltre di dedicare un browser alla navigazione pubblica e di non utilizzare mai quel browser per accedere a siti con dati sensibili.