di  -  giovedì 19 marzo 2009

Concludiamo il post di giovedì scorso occupandoci oggi di come difendersi da certi attacchi Man in the Middle.

Nello post passato (lettura d’obbigo per comprendere questo) avevamo discusso di alcuni attacchi MITM, recenti e meno recenti, soprattutto in ambito Web, facendo riferimento ad una pubblicazione di due ricercatori del IBM di un paio di settimane fa.

Avevamo visto due attacchi generici per il MITM su reti locali ovvero il poisoning della cache ARP e il rogue Access Point, e avevamo spiegato come fosse possibile per un attaccante catturare i cookies o le credenziali di accesso memorizzate dal browser per un qualsiasi sito un utente della rete locale sia solito visitare, talvolta anche nel caso di siti potetti con SSL o di comunicazioni su VPN.

A tal proposito segnalo un tool, CookieMonster, di cui non avevo parlato la scorsa volta, che è capace di catturare in una rete locale i cookies di siti protetti tramite HTTPS in modo non adeguato.

Come possiamo allora difenderci da questi attacchi quando navighiamo col nostro portatile connesso alla rete wireless di un aeroporto o in condizioni simili?

La Microsoft suggerisce, per esempio, di utilizzare un personal firewall, di non connettersi a reti non protette e di non trasmettere informazioni sensibili. Queste sono precauzioni comuni nell’uso sicuro di reti pubbliche. Peccato che si rivelino del tutto inutili nel caso di attacchi MITM attivi.

Per gli utenti un consiglio più utile da applicare quando ci si connette a reti pubbliche, potrebbe essere quello di eliminare tutti i cookies e i file di cache del browser, in questo modo non ci sarà niente da rubare per un attaccante.

Inoltre, tale operazione dovrà essere ripetuta anche quando ci si disconnetterà da tale rete, cosicché nell’eventualità che un attaccante avesse infettato un qualche cookies o file di cache, l’attacco non potrà persistere nelle future navigazioni.

Un modo per ottenere risultati simili potrebbe anche essere quello di usare due browser distinti per la navigazione su reti fidate e non fidate.

Anche l’uso della funzione di autoriempimento dei form di autenticazione andrebbe usata sempre con cura perché, come abbiamo visto nel post di giovedì scorso, è piuttosto facile rubare tali informazioni.

Il fulcro degli attacchi MITM si basa sull’intercettare, o iniettare dati malevoli, su comunicazioni non cifrate. Perciò, se l’amministratore di un sito Web fa in modo di utilizzare sempre SSL per il proprio portale, l’utente sarà al sicuro da attacchi MITM attivi o passivi.

Di vitale importanza è anche l’utilizzo dell’attributo secure per i cookies, che garantisce l’impossibilità della trasmissione del cookie su canali che non siano cifrati.

Alcuni mesi fa Gmail aveva introdotto l’autenticazione via SSL, ma proprio perché i cookies che usava non erano marcati come secure, risultavano ancora catturabili da un attaccante. E le vittime ci sono state eccome.

Benché di questi attacchi non si parli molto, sono tutt’altro che rari o difficili da praticare, è bene quindi che tutti, in quanto utenti o fornitori di servizi Web, abbiano piena coscienza della loro esistenza e sappiano come difendersi.

3 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    The3D
     scrive: 

    Premesso che non sono esperto di questo settore e non conosco in dettaglio chrome (l’ho solo usato solo pochissime volte): E usando chrome in modalità “in incognito”, rischierei comunque di incorrere nello stesso attacco?

  • # 2
    Alberto Trivero (Autore del post)
     scrive: 

    Per The3D:
    L’incognito mode di Google Chrome, da quello che so, fa in modo che il browser non salvi in maniera permanente sul computer i cookies, la history e impedisce modifiche al registro di sistema (su Windows, ovviamente). Però almeno sulla RAM (forse anche su HD) presumo che questi dati li tenga temporaneamente in memoria, ciò significa che se navighi su siti critici non protetti i tuoi dati possono essere intercettati, e i cookies creati durante la modalità incognito possono essere catturati. In compenso, i tuoi cookies relativi alla navigazione, passata, normale sono probabilmente al sicuro. Anche gli attacchi di HTTP Cache Poisoning dovrebbero essere impossibili inquanto al termine della sessione in incognito tutti i dati creati saranno distrutti.

  • # 3
    Nat
     scrive: 

    Configurando la conservazione dei cookies fino alla chiusura del browser e impostando la cancellazione automatica dei dati personali si dovrebbe riuscire a limitare il rischio di furto di cookies da una sessione all’altra del browser no?

    Avevo anche trovato un plugin per firefox (Secure login) che se non ho capito male dovrebbe proprio evitare che i dati salvati per l’autocompletamento dei moduli possano venir rubati, tuttavia, nn essendo molto esperto nn so se possa valere anche per gli attacchi a cui fa riferimento l’articolo.

    Eventualmente, una soluzione per questo rischio potrebbe anche essere quello di impostare una “password principale” nel browser, cosi’ che i dati memorizzati siano criptati e non vengano auto-inseriti fino alla digitazione della password.

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.