Un attacco Man-in-the-Middle (MitM, letteralmente «uomo nel mezzo») è una tecnica di attacco informatico in cui l’avversario si posiziona segretamente tra due parti che credono di comunicare direttamente l’una con l’altra. L’attaccante può intercettare, leggere e modificare i messaggi in transito senza che nessuna delle due parti si accorga della presenza di un intermediario. La condizione necessaria è che l’attaccante riesca ad inserirsi nel percorso di comunicazione e che quest’ultima non sia protetta da autenticazione crittografica end-to-end.
Tecniche di posizionamento
ARP Spoofing: il protocollo ARP (Address Resolution Protocol) mappa indirizzi IP a indirizzi MAC nella LAN ed è privo di autenticazione. Un attaccante nella stessa rete può inviare risposte ARP false (gratuitous ARP) associando il proprio MAC all’IP del gateway o di un altro host. Il traffico diretto a quell’IP viene consegnato alla macchina dell’attaccante, che lo ritrasmette alla destinazione reale dopo averlo eventualmente modificato.
DNS Spoofing: l’attaccante avvelena la cache DNS per reindirizzare la risoluzione di un dominio verso un IP controllato. Le vittime si collegano a un server malevolo credendo di comunicare con quello legittimo. Mitigato da DNSSEC.
Rogue Access Point: l’attaccante crea un punto di accesso Wi-Fi con SSID identico a quello legittimo (o più attraente) in un luogo pubblico. I dispositivi si connettono automaticamente e tutto il loro traffico transita per l’attaccante.
SSL Stripping: tecnica per degradare una connessione HTTPS a HTTP. L’attaccante si interpone tra client e server: mantiene HTTPS con il server ma serve HTTP al client, il quale non si accorge della differenza se non presta attenzione all’indicatore del browser. Mitigato da HSTS (HTTP Strict Transport Security).
BGP Hijacking: a livello di routing Internet, un attaccante annuncia rotte BGP false per deviare il traffico verso la propria infrastruttura. Vettore usato in attacchi su scala nazionale o da attori con accesso a router BGP.
Obiettivi dell’attaccante
Un MitM in posizione attiva può:
- Eavesdropping: leggere tutto il traffico in chiaro (credenziali, dati personali, segreti aziendali)
- Session hijacking: rubare cookie di sessione non protetti da flag
SecureeHttpOnly - Iniezione di contenuti: modificare pagine HTML per inserire script malevoli o link di phishing
- Downgrade attacks: forzare l’uso di protocolli crittografici più deboli (es. TLS 1.0, cipher suite deboli)
- Relay attack: nei protocolli di autenticazione wireless (NFC, Bluetooth), rilasciare e ritrasmentire messaggi di autenticazione in tempo reale per impersonare un dispositivo legittimo
Contromisure
La difesa principale contro MitM è la crittografia autenticata end-to-end: TLS con validazione corretta del certificato rende la modifica del traffico rilevabile (l’attaccante non può firmare un certificato valido per il dominio reale senza comprometterne la chiave privata). HTTPS con HSTS e certificate pinning chiude anche SSL Stripping e la sostituzione del certificato.
A livello di rete locale, Dynamic ARP Inspection (DAI) sugli switch managed verifica le risposte ARP contro una tabella DHCP snooping, bloccando ARP spoofing. La segmentazione di rete e l’uso di VPN cifrate riducono la superficie esposta. In architetture Zero Trust, ogni comunicazione è autenticata e cifrata indipendentemente dalla rete, eliminando l’assunzione che il canale di trasporto sia fidato.