Attacchi man-in-the-middle

Ecco un altro articolo tradotto dal blog di Bruce Schneier:

Il sensazionale salvataggio della scorsa settimana di 15 ostaggi in mano all’organizzazione di guerriglieri FARC, fu il risultato di mesi d’intricati inganni da parte del governo columbiano. Al centro c’era un classico attacco man-in-the-middle.

In un attacco man-in-the-middle, l’attaccante si inserisce tra le due parti comunicanti. Entrambi pensano di parlar tra di loro e l’attaccante può cancellare o modificare le comunicazioni secondo il proprio volere.

Il Wall Street Journal lo definisce come il gambetto eseguito in Columbia:

“Il piano potè riuscire perché, per mesi, durante un’operazione, un ufficiale dell’esercito è stato equiparato ad un “telefono rotto”; l’intelligence militare è stata in grado di convincere il rapitore della signorina Betancourt, Gerardo Aguilar, un guerrigliero conosciuto come ‘Cesar,’ che stesse comunicando con i suoi capi supremi nel segretariato dei sette uomini della guerriglia. L’intelligence dell’esercito ha convinto i leader supremi della guerriglia che stessero parlando con Cesar. In realtà, entrambi parlavano con l’intelligence dell’esercito.”

Questo stratagemma funzionò perché, Cesar ed i suoi capi della guerriglia non si conoscevano bene. Non riconoscevano le voci uno dell’altro e non erano amici, o condividevano un passato che avrebbe potuto metterli in guardia dell’inganno. Il man-in-the-middle è sconfitto dal contesto e i guerriglieri FARC non ne avevano.

Ecco perché il man-in-the-middle, abbreviato MITM nella comunità della sicurezza informatica, è un tale problema online: la comunicazione Internet è spesso priva di qualsiasi contesto. Non c’è modo di riconoscere il viso di qualcuno. Non c’è modo di riconoscere la voce di qualcuno. Quando si riceve un’e-mail che si presume provenga da una persona o una organizzazione, non si sa chi l’abbia mandata realmente. Quando si visita un sito web, non si sa se si sta realmente visitando quel sito web. Tutti noi amiamo credere di sapere con chi stiamo comunicando – e la maggior parte delle volte, ovviamente, non ci sono hacker che si inseriscono nelle nostre comunicazioni – ma in realtà, non lo sappiamo. E ci sono molti strumenti hacker che sfruttano questa ingiustificata fiducia e implementano attacchi MITM .

Anche con il contesto, è ancora possibile per il MITM ingannare entrambe le parti – visto che le comunicazioni elettroniche sono spesso intermittenti. Immaginate che uno dei guerriglieri FARC fosse divenuto sospettoso nei riguardi di chi fosse il suo interlocutore. Avrebbe, quindi, fatto una domanda circa un passato condiviso, come test: “Cosa mangiammo per cena, quella volta, l’anno scorso?” o qualcosa di simile. Al telefono, l’hacker non sarebbe stato in grado di rispondere velocemente, quindi il suo inganno sarebbe stato scoperto velocemente. Ma le conversazioni via e-mail non sono sincrone. L’hacker avrebbe potuto semplicemente passare quella domanda all’altro capo della comunicazione e quando avesse avuto la risposta, sarebbe stato in grado di replicare.

Questo è il modo in cui gli attacchi MITM operano nei confronti di sistemi finanziari basati sul web. Una banca chiede l’autenticazione dall’utente: una password, un codice utilizzabile una sola volta da un token o qualsiasi altra cosa. L’hacker seduto nel mezzo riceve la richiesta dalla banca e la passa all’utente. L’utente risponde all’hacker, che passa quella risposta alla banca. Ora la banca presume di parlare con l’utente legittimo e l’hacker è libero d’inviare le transazioni direttamente alla banca. Questo tipo d’attacco bypassa completamente qualsiasi  meccanismo d’autenticazione a due fattori e sta divenendo una tattica di furto d’identità sempre più popolare.

Ci sono soluzioni crittografiche agli attacchi MITM e ci sono protocolli web sicuri che li implementano. Molti di loro però, richiedono segreti condivisi, rendendoli utili solamente in situazioni dove le persone già si conoscano e si fidino l’una dell’altra.

I telefoni sicuri progettati dall’Nsa STU-III e STE , risolvono il problema del MITM integrando l’identità di ogni telefono insieme alla propria chiave. (L’Nsa crea tutte le chiavi ed  è  fidato, quindi funziona.) Quando due telefoni parlano tra loro in sicurezza, si scambiano chiavi e mostrano l’identità dell’altro telefono sullo schermo. Visto che il telefono è in un luogo sicuro, l’utente ora sa con chi sta parlando e se il telefono mostra un’altra organizzazione – come farebbe se ci fosse un attacco MITM in corso – egli dovrebbe attaccare.

Zfone, un sistema VoIP sicuro, protegge contro gli attacchi MITM  con una stringa d’autenticazione breve. Dopo che due terminali Zfone si scambiano le chiavi, entrambi i computer mostrano una stringa di quattro caratteri. Gli utenti sono tenuti a verificare manualmente che entrambe le stringhe siano uguali – “il mio schermo dice 5C19; cosa dice il tuo?” – per assicurarsi che i telefoni stiano comunicando direttamente uno con l’altro e non con un MITM. L’ AT&T TSD-3600 lavorava in maniera simile.

Questo genere di protezione è integrato nel SSL, nonostante nessuno lo usi. Quando viene usato normalmente, SSL fornisce una connesione con comunicazioni cifrate a chiunque sia all’altro capo: in egual misura ad una banca e ad un sito di phishing. Ed i migliori siti di phishing creano connessioni SSL valide, in modo da ingannare in maniera ancora più efficace gli utenti. Ma se l’utente lo desidera, potrebbe controllare il certificato SSL manualmente per vedere se sia stato emesso alla ” Banca nazionale dell’attendibilità ” o “Due tizi con un computer in Nigeria.”

Nessuno lo fa, comunque, visto che ci si deve, sia ricordare, che aver voglia di fare fare il lavoro.

( I browser potrebbero rendere questa cosa più semplice, se volessero; ma pare non vogliano.) Nel mondo reale, potresti dirlo semplicemente ad una branca della tua banca, da un bancomat ad un angolo di strada. Ma su internet, un sito di phishing può essere facilmente reso simile al vero sito della tua banca. Qualsiasi metodo per separare le due cose necessita di lavoro. E questo è il primo passo per ingannarti con un attacco  MITM .

Il man-in-the-middle non è nuovo e non dev’esser tecnologico. Ma internet rende gli attacchi più semplici e potenti e ciò non cambierà in breve tempo.

Questo articolo è stato pubblicato originariamente da Wired.com.


Posted in Bruce Schneier, Traduzioni inglese-italiano by with no comments yet.

Cyber attacchi cinesi

Ecco un altro articolo tradotto dal blog di Bruce Schneier: Schneier on Security

La concezione popolare dei media è che ci sia un tentativo coordinato da parte del governo cinese di penetrare nei computer degli Stati Uniti – militari,  corporazioni governative – e rubarne i segreti. La verità è molto più complicata.

Certamente molto hacking proviene dalla Cina. Qualsiasi azienda che effettua controlli di sicurezza lo nota tutti i giorni.

Questi gruppi di hacker pare non lavorino per il governo cinese. Non pare siano coordinati dall’esercito cinese. Fondamentalmente sono giovani, maschi, cittadini cinesi patriottici e tentano di dimostrare che sono bravi come qualsiasi altro.  Così come i network americani, i media amano parlarne, i loro obiettivi includono anche siti pro-Tibet, pro-Taiwan, Falun Gong e pro-Uyghur .

Gli hacker compiono tutto ciò per due ragioni: fama, gloria ed il tentativo di guadagnarsi da vivere. La fama e la gloria derivano dai loro obiettivi nazionalistici. Alcuni di questi hacker sono eroi in Cina. Stanno sostenendo l’onore della nazione sia contro le forze anti-cinesi come il movimento pro-Tibet che forze maggiori, come gli Stati Uniti.

Il denaro proviene da diverse fonti. I gruppi vendono computer di proprietà,  servizi malware e dati che rubano sul mercato nero. Vendono strumenti per hacker e video ad altri che vogliano giocare. Vendono perfino T-shirts, cappelli ed altra merce sui loro siti web.

Questo non significa che l’esercito cinese ignori i gruppi hacker all’interno della propria nazione. Certamente il governo cinese conosce i leader del movimento hacker e sceglie di guardare altrove. Probabilmente comprano informazioni rubate. Probabilmente reclutano per le loro organizzazioni, proprio da questi bacini auto-selettivi, esperti di hacking specializzati. Certamente imparano dagli hacker.

Ed alcuni hacker sono bravi. Con il passar degli anni, sono diventati sempre più esperti,  sia con gli strumenti che con le tecniche. Non sono rintracciabili. Attuano un buon riconoscimento delle reti.  Mi chiedo quindi, ciò che il Pentagono pensa sia il problema,  è soltanto una piccola percentuale del problema attuale?

Scoprono le proprie vulnerabilità. I primi dell’anno, un’azienda di sicurezza notò un singolo attacco nei confronti di un’organizzazione pro-Tibet. Quello stesso attacco fu usato anche due settimane prima,  contro un grosso contractor di una multinazionale della difesa.

Fanno anche incetta di vulnerabilità. Durante gli scontri del 1999 sul conflitto della teoria dei due stati, in un acceso scambio con un gruppo di hacker taiwanesi, un gruppo cinese minacciò di liberare worm multipli accumulati in precedenza. Non c’era nessuna ragione per non credere a questa minaccia.

Se ci fosse, il fatto che questi gruppi non siano diretti dal governo cinese, rende il problema peggiore.  Senza una coordinazione politica centralizzata, essi sarebbero, probabilmente, più propensi a correre rischi maggiori; fare più cose stupide ed, in generale, ignorare il fallout politico delle loro azioni.

In questo contesto, essi sono come un non-state actor.

Quindi, sebbene sia assolutamente felice, che il governo degli Stati Uniti stia usando la minaccia dell’hacking cinese come incentivo per mettere ordine nella propria cybersicurezza e spero che abbia successo; spero anche che il governo degli Stati Uniti riconosca che questi gruppi non stiano agendo sotto la direzione dell’esercito cinese e che non considerino le loro azioni, come ufficialmente approvate dal governo cinese.

Questo articolo è stato pubblicato originariamente sul sito di Discovery Channel.


Posted in Bruce Schneier, Traduzioni inglese-italiano by with no comments yet.