patrizio.tufarolo

PRMitM, il nuovo attacco che fa tremare il Web

Password robuste? Autenticazione a due fattori? Con la tecnica "Password Reset Man in the Middle" un hacker pu˛ prendere comunque possesso di un account interponendosi nelle procedure di recupero delle password

Roma - Alcuni ricercatori del College of Management Academic Studies, il più grande ateneo dello Stato di Israele, hanno recentemente pubblicato un articolo nel quale viene illustrata una nuova tecnica di social engineering consistente nell'applicazione dell'approccio man-in-the-middle (nel quale l'attaccante intercede in una comunicazione lecita tra client e server) per violare i meccanismi a disposizione dell'utente per il recupero delle password.

L'attacco, chiamato PRMitM (Password Reset Man in the Middle), risulta semplice nel concetto ma elaborato nell'applicazione, e prevede l'utilizzo di apposite piattaforme di backend in grado di assumere il ruolo di intermediario nell'operazione di ripristino della password dimenticata in molte piattaforme e applicazioni Web.
CAPTCHA, domande di sicurezza, codici di verifica via SMS o autenticazione a due fattori non sono un ostacolo per l'attaccante: la richiesta per l'informazione eventualmente necessaria viene inoltrata alla vittima; per tale ragione la piattaforma utilizzata nell'attacco deve integrarsi appieno con il servizio target.

Diagramma di sequenza dell'attacco

Uno degli scenari di attacco presentati è effettuato, ad esempio, tramite un sito Web per il quale un utente effettua l'iscrizione, magari per effettuare l'accesso ad un'area riservata o al download di file. Nel momento in cui l'ignara vittima specifica il proprio indirizzo di posta elettronica può iniziare l'attacco vero e proprio: a questo punto infatti, l'attaccante può avviare la procedura di recupero password e chiedere all'utente qualunque informazione necessaria a portare a termine l'operazione, proponendo di compilare le risposte segrete relative alle stesse domande configurate per l'account vittima, o chiedendo altri dettagli necessari.
In caso di autenticazione a due fattori effettuata tramite SMS o chiamata telefonica, è possibile sfruttare il fatto che in molti casi (ad esempio Google) i provider non inseriscono il proprio nome nel messaggio o nella chiamata ricevuta; l'utente non è perciò in grado di riconoscere la reale provenienza del messaggio.

Gli account più sensibili a questa minaccia sono senza dubbio quelli relativi a servizi di posta elettronica, che possono rappresentare una superficie di attacco molto ampia grazie al fatto che spesso costituiscono il punto di ingresso per l'autenticazione verso altri servizi. L'accesso alla casella di posta, come noto, costituisce il punto di fallimento per la maggior parte delle piattaforme online, le quali inviano i link per il ripristino delle credenziali tramite email.
Nell'ambito della ricerca sono stati effettuati test specifici nei confronti di Facebook e Google, che sono risultati entrambi vulnerabili nonostante le misure di sicurezza adottate; altri servizi come WhatsApp, Telegram, Snapchat risultano però ugualmente attaccabili.

Patrizio Tufarolo
Notizie collegate
11 Commenti alla Notizia PRMitM, il nuovo attacco che fa tremare il Web
Ordina
  • Certe tecniche (usate da eoni) non escono fuori al grande pubblico fino a quando non gli danno un nome figo.

    Fa più solo schifo.
    non+autenticato
  • "un hacker può prendere comunque possesso di un account interponendosi nelle procedure di recupero delle password"
    Infatti non sono procedure, sopno procemolli.
    Ogni due per tre c'è notizia di un crack di qualche genere.
    Mi sa che l'informazione è diventata troppo automatica, mentre l'uso corretto della testa è diventato facoltativo.
    non+autenticato
  • al di la di questa, le procedure di ripristino di password dimenticata sono a mi parere uno dei punti piu deboli in tutte le piattaforme.

    ogni piattaforma usa una sua variante "fantasiosa" usando informazioni poco chiare (vecchie email, domande, etc) col risultato di una insicurezza generale: una mia amica continua a trovarsi l'account yahoo ripristinato perche la procedura prevede infinte vie di ripristino da ripulire ad una a una.

    intanto, poiche e' possibile bloccare un account dopo pochi fallimenti per quale motivo imporre password complesse e quindi mal ricordabili?
    e poi, perche non usare metodi piu standard di rispristino?
    non+autenticato
  • scusate, ovviamente la soluzione e' semplice, date tutti i vs dati a google o facebook che fanno loro i login, il famoso piatto di lenticchie..
    non+autenticato
  • - Scritto da: rudy
    > scusate, ovviamente la soluzione e' semplice,
    > date tutti i vs dati a google o facebook che
    > fanno loro i login, il famoso piatto di
    > lenticchie..

    la soluzione è ancora più semplice: fai generare password complesse e annotale in qualche posto, evitando a piè pari le procedure di ripristino.
    non+autenticato
  • Questa bella pratica di man in the middle, come ben illustra il disegnetto, prevede che:
    1) l'utonto indichi una mail quando effettua un download (quando invece il download di qualsivoglia contenuto deve potersi fare in modo rigorosamente anonimo)

    2) se proprio non c'e' verso di ottenere il file senza dargli un fottuto indirizzo di mail, gli si manda un indirizzo di mail farlocco, temporaneo, solo per quell'operazione.

    3) per nessuna ragione al mondo bisogna attivare quelle idiozie tipo "il nome del tuo cane" per recuperare la password. La password te la ricordi e basta. Non e' previsto che tu te la possa dimenticare.
  • - Scritto da: panda rossa
    > 3) per nessuna ragione al mondo bisogna attivare
    > quelle idiozie tipo "il nome del tuo cane" per
    > recuperare la password. La password te la ricordi
    > e basta. Non e' previsto che tu te la possa
    > dimenticare.

    Purtroppo con google non basta più ricordarsi la password!

    Ho diversi account usati raramente, tutti registrati senza risposte segrete, senza numero di cellulare e senza indirizzi email alternativi.

    Spesso quando cerco di usare uno di questi vecchi account, nonostante inserisca la password giusta, a google non piace perché la mia attività (login tramite il mio browser sul mio sistema operativo) risulta anomala e vuole sapere da me altre informazioni quali "quando hai registrato l'account" e cose del genere...

    skynet è vicino....
    non+autenticato
  • - Scritto da: Jack
    > - Scritto da: panda rossa
    > > 3) per nessuna ragione al mondo bisogna
    > attivare
    > > quelle idiozie tipo "il nome del tuo cane"
    > per
    > > recuperare la password. La password te la
    > ricordi
    > > e basta. Non e' previsto che tu te la possa
    > > dimenticare.
    >
    > Purtroppo con google non basta più ricordarsi la
    > password!
    >
    > Ho diversi account usati raramente, tutti
    > registrati senza risposte segrete, senza numero
    > di cellulare e senza indirizzi email
    > alternativi.
    >
    > Spesso quando cerco di usare uno di questi vecchi
    > account, nonostante inserisca la password giusta,
    > a google non piace perché la mia attività (login
    > tramite il mio browser sul mio sistema operativo)
    > risulta anomala e vuole sapere da me altre
    > informazioni quali "quando hai registrato
    > l'account" e cose del
    > genere...

    hai ragione. W il less is more. Cavare complessita'. e se uno e' troppo ritardato, compra il clementoni.

    >
    > skynet è vicino....
    anche troppo.
    non+autenticato
  • - Scritto da: panda rossa
    > Questa bella pratica di man in the middle, come
    > ben illustra il disegnetto, prevede
    > che:
    > 1) l'utonto indichi una mail quando effettua un
    > download (quando invece il download di
    > qualsivoglia contenuto deve potersi fare in modo
    > rigorosamente
    > anonimo)
    >
    > 2) se proprio non c'e' verso di ottenere il file
    > senza dargli un fottuto indirizzo di mail, gli si
    > manda un indirizzo di mail farlocco, temporaneo,
    > solo per
    > quell'operazione.
    >
    > 3) per nessuna ragione al mondo bisogna attivare
    > quelle idiozie tipo "il nome del tuo cane" per
    > recuperare la password. La password te la ricordi
    > e basta. Non e' previsto che tu te la possa
    > dimenticare.

    e anche oggi hai mostrato la tua solita profonda ignoranza in materia, questa volta relativa ai sistemi di accesso privati.

    continua così. i talebani sono tutti con te.
    non+autenticato
  • - Scritto da: panda soluzioni talebane
    > e anche oggi hai mostrato la tua solita profonda
    > ignoranza in materia, questa volta relativa ai
    > sistemi di accesso
    > privati.
    Per quanto posso odiare i troll come te, questa volte ti devo dare un minimo di ragione. Sinceramente panda rossa la tua visione nazi.fasc.ista è davvero stupida. Pensi che gli altri devono essere uguali a te e se non lo sono vanno decimati. Cambia lavoro, perchè quello che fai ti sta distruggendo. Te lo dice uno che ti capisce! Non è una battuta, ma un consiglio VERO.
    non+autenticato
  • - Scritto da: panda rossa

    > 3) per nessuna ragione al mondo bisogna attivare
    > quelle idiozie tipo "il nome del tuo cane" per
    > recuperare la password. La password te la ricordi
    > e basta. Non e' previsto che tu te la possa
    > dimenticare

    Raramente ho letto cazzate del genere.
    non+autenticato