Come liberammo gli ostaggi in Colombia

Grazie a un attacco di tipo "Man In The Middle".



[ZEUS News - www.zeusnews.it - 11-07-2008]

La liberazione dei 15 ostaggi detenuti dalle Forze Armate Rivoluzionarie della Colombia (Farc), tra cui c'era Ingrid Betancourt e che sono stati liberati il 2 luglio scorso, al di là delle conseguenze politiche ha spinto Bruce Schneier a fare alcune riflessioni che riguardano il campo in cui è esperto, vale a dire la sicurezza informatica e la crittografia.

Schneier è chief security technology officer di BT ed è universalmente noto per la sua esperienza nel campo della sicurezza dei sistemi informatici.

La liberazione degli ostaggi - dice dunque Schneier - è stata resa possibile sfruttando una delle tecniche di pirateria informatica che spesso mettono nei guai gli utenti: quella nota come man in the middle, ossia uomo nel mezzo.

Il nome, in sé, è esplicativo. Due soggetti entrano in comunicazione tra loro - poniamo, un utente e la sua banca online - via Internet. L'utente riconosce il sito della banca e inizia a inserire le credenziali per operare sul proprio conto corrente. La banca riconosce l'utente tramite le varie combinazioni di user name, password e codici e garantisce l'accesso ai propri sistemi.

La presenza di un uomo nel mezzo, però, cambia totalmente le cose senza che nessuno dei due soggetti se ne renda conto. L'uomo nel mezzo si frapporrà tra la banca e il cliente e farà in modo di far credere alla banca di essere il cliente, e al cliente di essere la banca. Così le comunicazioni verranno intercettate senza essere bloccate e l'attaccante, sito in mezzo tra i due ignari soggetti, potrà approfittarne.

Esattamente questo è il sistema che è stato usato dai servizi segreti militari per raccogliere informazioni sulle Farc e progettare così la liberazione degli ostaggi. Nella pratica Gerardo Aguilar, il guerrigliero che deteneva la Betancourt, era convinto di comunicare via telefono con i propri capi; a loro volta, i capi erano convinti di parlare con Aguilar. In realtà entrambi stavano parlando con un ufficiale dei servizi segreti militari che di volta in volta fingeva di essere l'uno o l'altro soggetto.

Come per ogni attacco del tipo man in the middle, il trucco ha funzionato perché i due soggetti non conoscevano dettagli l'uno dell'altro. Come dice Schneier, "l'uomo nel mezzo viene sconfitto dal contesto, e i guerriglieri della Farc non ne avevano" perché personalmente non si conoscevano e non potevano condividere ricordi, avvenimenti o altri particolari che potessere permettere un'identificazione sicura.

Lo stesso problema si presenta nelle comunicazioni via Internet: niente facce, né voci, e nemmeno contemporaneità. Quando si risponde a una mail possono essere passati minuti, ore o giorni da quando essa è stata inviata; se si hanno dei dubbi sull'identità di un interlocutore telefonico, invece, almeno si può provare a metterlo in difficoltà facendo domande a bruciapelo su particolari poco noti. Un'eventuale esitazione farebbe cadere la maschera.

Nelle comunicazioni via e-mail o navigando nel web questo non può succedere. Visitare un sito falso abilmente costruito può trarre in inganno anche l'utente più accorto, perché al di là dell'aspetto della pagina non c'è un contesto a cui fare riferimento e non tutti sono in grado di oltrepassare le tecniche di mascheramento degli indirizzi (così che sembra davvero di essere collegati, per riprendere l'esempio di prima, al sito della propria banca: l'indirizzo visualizzato nella barra del browser, infatti, pare proprio quello giusto).

Gli attacchi man in the middle, dice ancora Schneier, stanno diventando sempre più popolari perché sono efficaci: se io, per identificarmi presso il sito della mia banca, passo inconsapevolmente i dati necessari all'uomo nel mezzo il quale li inoltra alla banca, né io né la mia banca sospetteremo alcunché, ma intanto le preziose informazioni saranno state consegnate a terzi.

In fondo non si tratta di una tecnica nuova né originale, ma con il passare del tempo ha mantenuto intatta tutta o quasi la propria pericolosità, anche perché le misure di sicurezza esistenti spesso non vengono implementate, sebbene i browser abbiano comunque fatto dei grossi passi in avanti su questo fronte.

Il sistema Ssl, per esempio, così diffusamente usato, ha un sistema di protezione che permetterebbe di identificare univocamente l'altro interlocutore, solo che non viene usato. Al momento attuale, la comunicazione è sì crittografata, ma è diretta a chiunque: si può contattare e si possono inviare dati cifrati allo stesso modo verso il sito della banca o verso un sito di phishing il quale, per aumentare la propria credibilità e rendersi indistinguibile dall'originale, farà in modo di creare delle connessioni Ssl valide.

Per essere al sicuro, l'utente dovrebbe verificare manualmente il certificato e riconoscere l'autorità che l'ha emesso, ma ben pochi lo fanno e i browser, in questo senso, ancora non aiutano gli utenti. Non basta, insomma, che il lucchetto sia chiuso perché ci si possa sentire al riparo: il processo per ottenere la sicurezza prevede che l'utente sia attivamente coinvolto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

alcuni servizi di home banking, oltre ai canonici user e password richiedono l'utilizzo di un ulteriore codice generato sul momento da un apposito apparecchio in dotazione all'utente..ovviamente i codici non sono casuali, ma vengono generati di volta in volta secondo una chiave privata conosciuta dalla banca, tant' vero che se per... Leggi tutto
12-7-2008 14:01

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual la politica della tua azienda nei confronti dei dispositivi mobili dei dipendenti? Bring Your Own Device oppure Corporate Owned, Personally Enabled?
BYOD
COPE
Non c' una policy dominante, dipende dagli utenti
Non lo so
Non lavoro in un'azienda

Mostra i risultati (688 voti)
Luglio 2017
L'antivirus gratuito di Kaspersky
Adobe annuncia la morte di Flash
In arrivo Play Protect, ''antivirus'' di Google per Android
Come violare Facebook con un vecchio numero di telefono
La Camera approva data retention a 6 anni, infilato in emendamento su sicurezza ascensori
Antibufala: il video delle ''scie chimiche'' giganti
Gli autovelox non possono rilevare i veicoli della corsia opposta
TIM chiude il data center di Bari
Addio, Windows Phone 8.1
Usare il font sbagliato può costare il posto. O mandare in carcere
Nascosto ma non troppo: la minaccia occulta della steganografia
Come riconoscere una foto falsa
Buran: gli Shuttle sovietici ripresi di nascosto
Autovelox, via tutte le segnalazioni e gli avvisi
Cosa devono fare gli utenti al più presto
Tutti gli Arretrati


web metrics