Come liberammo gli ostaggi in Colombia

Grazie a un attacco di tipo "Man In The Middle".



[ZEUS News - www.zeusnews.it - 11-07-2008]

Come liberammo gli ostaggi in Colombia

La liberazione dei 15 ostaggi detenuti dalle Forze Armate Rivoluzionarie della Colombia (Farc), tra cui c'era Ingrid Betancourt e che sono stati liberati il 2 luglio scorso, al di là delle conseguenze politiche ha spinto Bruce Schneier a fare alcune riflessioni che riguardano il campo in cui è esperto, vale a dire la sicurezza informatica e la crittografia.

Schneier è chief security technology officer di BT ed è universalmente noto per la sua esperienza nel campo della sicurezza dei sistemi informatici.

La liberazione degli ostaggi - dice dunque Schneier - è stata resa possibile sfruttando una delle tecniche di pirateria informatica che spesso mettono nei guai gli utenti: quella nota come man in the middle, ossia uomo nel mezzo.

Il nome, in sé, è esplicativo. Due soggetti entrano in comunicazione tra loro - poniamo, un utente e la sua banca online - via Internet. L'utente riconosce il sito della banca e inizia a inserire le credenziali per operare sul proprio conto corrente. La banca riconosce l'utente tramite le varie combinazioni di user name, password e codici e garantisce l'accesso ai propri sistemi.

La presenza di un uomo nel mezzo, però, cambia totalmente le cose senza che nessuno dei due soggetti se ne renda conto. L'uomo nel mezzo si frapporrà tra la banca e il cliente e farà in modo di far credere alla banca di essere il cliente, e al cliente di essere la banca. Così le comunicazioni verranno intercettate senza essere bloccate e l'attaccante, sito in mezzo tra i due ignari soggetti, potrà approfittarne.

Esattamente questo è il sistema che è stato usato dai servizi segreti militari per raccogliere informazioni sulle Farc e progettare così la liberazione degli ostaggi. Nella pratica Gerardo Aguilar, il guerrigliero che deteneva la Betancourt, era convinto di comunicare via telefono con i propri capi; a loro volta, i capi erano convinti di parlare con Aguilar. In realtà entrambi stavano parlando con un ufficiale dei servizi segreti militari che di volta in volta fingeva di essere l'uno o l'altro soggetto.

Come per ogni attacco del tipo man in the middle, il trucco ha funzionato perché i due soggetti non conoscevano dettagli l'uno dell'altro. Come dice Schneier, "l'uomo nel mezzo viene sconfitto dal contesto, e i guerriglieri della Farc non ne avevano" perché personalmente non si conoscevano e non potevano condividere ricordi, avvenimenti o altri particolari che potessere permettere un'identificazione sicura.

Lo stesso problema si presenta nelle comunicazioni via Internet: niente facce, né voci, e nemmeno contemporaneità. Quando si risponde a una mail possono essere passati minuti, ore o giorni da quando essa è stata inviata; se si hanno dei dubbi sull'identità di un interlocutore telefonico, invece, almeno si può provare a metterlo in difficoltà facendo domande a bruciapelo su particolari poco noti. Un'eventuale esitazione farebbe cadere la maschera.

Nelle comunicazioni via e-mail o navigando nel web questo non può succedere. Visitare un sito falso abilmente costruito può trarre in inganno anche l'utente più accorto, perché al di là dell'aspetto della pagina non c'è un contesto a cui fare riferimento e non tutti sono in grado di oltrepassare le tecniche di mascheramento degli indirizzi (così che sembra davvero di essere collegati, per riprendere l'esempio di prima, al sito della propria banca: l'indirizzo visualizzato nella barra del browser, infatti, pare proprio quello giusto).

Gli attacchi man in the middle, dice ancora Schneier, stanno diventando sempre più popolari perché sono efficaci: se io, per identificarmi presso il sito della mia banca, passo inconsapevolmente i dati necessari all'uomo nel mezzo il quale li inoltra alla banca, né io né la mia banca sospetteremo alcunché, ma intanto le preziose informazioni saranno state consegnate a terzi.

In fondo non si tratta di una tecnica nuova né originale, ma con il passare del tempo ha mantenuto intatta tutta o quasi la propria pericolosità, anche perché le misure di sicurezza esistenti spesso non vengono implementate, sebbene i browser abbiano comunque fatto dei grossi passi in avanti su questo fronte.

Il sistema Ssl, per esempio, così diffusamente usato, ha un sistema di protezione che permetterebbe di identificare univocamente l'altro interlocutore, solo che non viene usato. Al momento attuale, la comunicazione è sì crittografata, ma è diretta a chiunque: si può contattare e si possono inviare dati cifrati allo stesso modo verso il sito della banca o verso un sito di phishing il quale, per aumentare la propria credibilità e rendersi indistinguibile dall'originale, farà in modo di creare delle connessioni Ssl valide.

Per essere al sicuro, l'utente dovrebbe verificare manualmente il certificato e riconoscere l'autorità che l'ha emesso, ma ben pochi lo fanno e i browser, in questo senso, ancora non aiutano gli utenti. Non basta, insomma, che il lucchetto sia chiuso perché ci si possa sentire al riparo: il processo per ottenere la sicurezza prevede che l'utente sia attivamente coinvolto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

alcuni servizi di home banking, oltre ai canonici user e password richiedono l'utilizzo di un ulteriore codice generato sul momento da un apposito apparecchio in dotazione all'utente..ovviamente i codici non sono casuali, ma vengono generati di volta in volta secondo una chiave privata conosciuta dalla banca, tant' vero che se per... Leggi tutto
12-7-2008 14:01

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Le proteste che hanno spinto Google a sospendere Street View in alcuni Paesi...
sono giuste: occorrono limiti pi seri per salvaguardare la privacy.
sono ingiuste: Street View non danneggia affatto la privacy.

Mostra i risultati (2605 voti)
Ottobre 2020
Gasolio addio, FS vuole i treni a idrogeno
Windows 10, guai a catena dopo l'ultimo aggiornamento
Windows 10, Pc riavviati a forza per installare le web app di Office
Quel motivetto che hai in testa? Se lo fischietti, Google lo indovina
YouTube pronta a far guerra ad Amazon
Le cipolle troppo sexy per Facebook
Smishing, i consigli per non cadere nel tranello
Arrestato per recensioni online negative di un albergo
Windows 10, arriva l'installazione personalizzata
Il sito che installa tutte le app essenziali per Windows 10
Covid-19, casi sottostimati per colpa di Excel
Il furto automatico del PIN della carta di credito
Windows 10 avvisa l'utente se un SSD sta per morire
Windows 10 e i driver che vengono dal passato
Settembre 2020
Se tutte le auto fossero elettriche, quanta energia in più servirebbe?
Tutti gli Arretrati


web metrics