Concludiamo il post di giovedì scorso occupandoci oggi di come difendersi da certi attacchi Man in the Middle.
Nello post passato (lettura d’obbigo per comprendere questo) avevamo discusso di alcuni attacchi MITM, recenti e meno recenti, soprattutto in ambito Web, facendo riferimento ad una pubblicazione di due ricercatori del IBM di un paio di settimane fa.
Avevamo visto due attacchi generici per il MITM su reti locali ovvero il poisoning della cache ARP e il rogue Access Point, e avevamo spiegato come fosse possibile per un attaccante catturare i cookies o le credenziali di accesso memorizzate dal browser per un qualsiasi sito un utente della rete locale sia solito visitare, talvolta anche nel caso di siti potetti con SSL o di comunicazioni su VPN.
A tal proposito segnalo un tool, CookieMonster, di cui non avevo parlato la scorsa volta, che è capace di catturare in una rete locale i cookies di siti protetti tramite HTTPS in modo non adeguato.
Come possiamo allora difenderci da questi attacchi quando navighiamo col nostro portatile connesso alla rete wireless di un aeroporto o in condizioni simili?
La Microsoft suggerisce, per esempio, di utilizzare un personal firewall, di non connettersi a reti non protette e di non trasmettere informazioni sensibili. Queste sono precauzioni comuni nell’uso sicuro di reti pubbliche. Peccato che si rivelino del tutto inutili nel caso di attacchi MITM attivi.
Per gli utenti un consiglio più utile da applicare quando ci si connette a reti pubbliche, potrebbe essere quello di eliminare tutti i cookies e i file di cache del browser, in questo modo non ci sarà niente da rubare per un attaccante.
Inoltre, tale operazione dovrà essere ripetuta anche quando ci si disconnetterà da tale rete, cosicché nell’eventualità che un attaccante avesse infettato un qualche cookies o file di cache, l’attacco non potrà persistere nelle future navigazioni.
Un modo per ottenere risultati simili potrebbe anche essere quello di usare due browser distinti per la navigazione su reti fidate e non fidate.
Anche l’uso della funzione di autoriempimento dei form di autenticazione andrebbe usata sempre con cura perché, come abbiamo visto nel post di giovedì scorso, è piuttosto facile rubare tali informazioni.
Il fulcro degli attacchi MITM si basa sull’intercettare, o iniettare dati malevoli, su comunicazioni non cifrate. Perciò, se l’amministratore di un sito Web fa in modo di utilizzare sempre SSL per il proprio portale, l’utente sarà al sicuro da attacchi MITM attivi o passivi.
Di vitale importanza è anche l’utilizzo dell’attributo secure per i cookies, che garantisce l’impossibilità della trasmissione del cookie su canali che non siano cifrati.
Alcuni mesi fa Gmail aveva introdotto l’autenticazione via SSL, ma proprio perché i cookies che usava non erano marcati come secure, risultavano ancora catturabili da un attaccante. E le vittime ci sono state eccome.
Benché di questi attacchi non si parli molto, sono tutt’altro che rari o difficili da praticare, è bene quindi che tutti, in quanto utenti o fornitori di servizi Web, abbiano piena coscienza della loro esistenza e sappiano come difendersi.