Attacco “man in the middle” (spesso abbreviato in MITM, MIM, MIM attack o MITMA, in italiano “uomo nel mezzo”) è una terminologia impiegata nella crittografia e nella sicurezza informatica per indicare un attacco informatico in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro. Un esempio di attacco man in the middle è l’eavesdropping (vedi sotto), in cui l’attaccante crea connessioni indipendenti con le vittime e ritrasmette i messaggi per far credere loro che stiano comunicando direttamente tramite una connessione privata, mentre in realtà l’intera conversazione è controllata dal malintenzionato che deve essere in grado di intercettare tutti i messaggi importanti che passano tra le due vittime e iniettarne di nuovi. In molte circostanze questo è semplice, per esempio, un attaccante all’interno di un WI-FI access point non criptato, può inserire se stesso come “uomo nel mezzo”.
L’attacco può funzionare solo se nessuna delle due parti è in grado di sapere che il collegamento che li unisce reciprocamente è stato effettivamente compromesso da una terza parte, cosa di cui potrebbero venire a conoscenza comunicando con un canale diverso non compromesso. La maggior parte dei protocolli di crittografia includono una qualche forma di autenticazione endpoint specificamente per prevenire attacchi MITM. Ad esempio, TLS può autenticare una o entrambe le parti utilizzando una Certificate authority reciprocamente attendibile.
Eavesdropping —-> Sniffing
Con sniffing (dall’inglese, odorare), in informatica e nelle telecomunicazioni, si definisce l’attività di intercettazione passiva dei dati che transitano in una rete telematica.
Tale attività può essere svolta sia per scopi legittimi (ad esempio l’analisi e l’individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti contro la sicurezza informatica (intercettazione fraudolenta di password o altre informazioni sensibili).
I prodotti software utilizzati per eseguire queste attività vengono detti sniffer ed oltre ad intercettare e memorizzare il traffico offrono funzionalità di analisi del traffico stesso.
Gli sniffer intercettano i singoli pacchetti, decodificando le varie intestazioni di livello datalink, rete, trasporto, applicativo. Inoltre possono offrire strumenti di analisi che analizzano ad esempio tutti i pacchetti di una connessione TCP per valutare il comportamento del protocollo di rete o per ricostruire lo scambio di dati tra le applicazioni.
Visita la versione completa (wikipedia).
Metodi di difesa
Ci sono vari metodi per difendersi dagli attacchi MITM. Tuttavia quasi tutti gli attacchi sono diretti ai router e ai server e questo impedisce agli utenti di controllare in prima persona la sicurezza delle transazioni. Tuttavia qualcosa possiamo fare. Per esempio, possiamo usare un programma di crittografia efficace che agisca tra client e server. Grazie a questi programmi, il server può autenticarsi presentando un certificato digitale e il client e il server possono stabilire un canale criptato attraverso il quale inviare dati sensibili. Ma è importante che la crittografia sia abilitata sul server. Un’altra possibilità è evitare in toto le connessioni Wi-Fi gratuite o utilizzare un plug-in per browser come HTTPS Everywhere o ForceTLS in grado di stabilire connessioni sicure. Ad ogni modo, questi metodi di difesa hanno dei limiti e si sono registrati casi di attacchi come SSLStrip o SSLSniff che mettono in dubbio la sicurezza delle connessioni SSL.
Vai alla pagina di definizione dei virus e degli attacchi più comuni.
