iten

ARPON contro gli attacchi MITM

arpon

 Il MITM è un genere di attacco, una falla di sicurezza, che gira per i bit della rete fin dai primordi e che resta tutt’oggi un problema irrisolto.

Questa tecnica consiste nel far credere a due dispositivi che comunicano all’interno di una Lan di parlare tra di loro, mentre in realtà, un "terzo incomodo" fa da tramite leggendo tutti i dati che transitano tra i due dispositivi.

Nel caso qui sopra, Peppe sta furbamente vedendo quello che si dicono Alice e Bob senza farsi notare; Peppe impersonifica entrambi facendo credere ad ognuno di stare parlando con il legittimo destinatario. Nel caso più concreto, potremmo immaginare di essere collegati a qualsiasi rete (wi-fi o cablata) con qualsiasi dispositivo, e un malintenzionato che sia collegato alla stessa rete potrebbe potenzialmente utilizzare questa tecnica per inscenare il Gateway al quale siamo collegati (un router solitamente) per mettersi tra noi e internet: in questa modo potrebbe vedere qualsiasi cosa che noi facciamo nella rete, dalle nostre mail alla password che inseriamo per accedere all’account di un sito.

Man in the middle attackEsiste un software che ci difende preventivamente da questo genere di attacchi: il suo nome è ArpON ed è un progetto tutto italiano.

Per distribuzioni Debian e derivate per installare arpon basta, da terminale, digitare:

 

# sudo apt-get install -f arpon

 

eseguita l’installazione del pacchetto, facciamo in modo che si avvii in automatico ad ogni boot del sistema

 

# sudo nano /etc/default/arpon

 

settare l’ultima riga nel seguente modo:

 

RUN="yes"

 

Salvate e chiudete. In questo modo avete impostato ArpON in avvio automatico, con metodo di funzionamento in reti con DHCP (il 99% delle reti che troverete) ossia con assegnazione dell’IP in modo dinamico. Con questo programma in background dovreste essere al sicuro da questo genere di attacco. ArpON (ARP handler inspection) è un servizio che rende sicuro il protocollo ARP in modo da evitare attacchi di tipo Man In The Middle, come ad esempio: ARP Sproofing, ARP Cache poisoning, ARP Poisoning Routing e attacchi derivati come Sniffing, Hijacking e Injection. Ricordiamo, che questa "pillola" non vuole essere la panacea di questo tipo di problema, ma un'azione d'intervento da fare assieme alle varie buone pratiche da adottare contro gli attacchi MITM.

Felicitazioni!

Cyberciti