Come indica il nome stesso, il "Man in the Middle Attack" è un tipo di attacco nel quale un soggetto terzo, in maniera illegittima e illegale, tenta di intercettare le comunicazioni tra due parti senza che queste ne siano consapevoli. A che scopo? Per rubare dati critici che vengono scambiati, per interrompere la comunicazione o corrompere i dati. 

Tutti i dati ormai viaggiano in continuazione, in uno scambio continuo tra dispositivi e utenti. Questa facilità di scambio dati ha molti aspetti positivi, ma anche alcuni aspetti problematici, sicurezza e privacy primi tra tutti.

Mentre la trasmissione dei dati avviene tra client e server, nell'attacco man in the middle un attaccante si frappone tra due endpoint di comunicazione e interferisce con il trasferimento dei dati, mentre tenta di acquisire le informazioni più delicate che vengono scambiate. Nel frattempo client e server pensano di interagire tra loro, in realtà interagiscono con l'attaccante. 

Supponiamo che A e B siano due entità e C sia "l'uomo nel mezzo". Se A e B vogliono scambiare informazioni tra loro, A chiederà a B la chiave pubblica, così A potrà inviare dati criptati accessibili solo con quella chiave: solo B quindi potrà vedere in chiaro queste informazioni. Qui entra in gioco C: non appena B invia la chiave pubblica ad A, C intercetta la chiave inviata e la sostituisce con la propria. 

A ora invierà dati criptati supponendo che la chiave sia di B, ma C è in grado di decodificare quei dati usando la propria chiave pubblica, potrà addirittura leggerli e modificarli: dopo averli intercettati e decriptati, li cripterà con la chiave pubblica di B, intercettata precedentemente, così B potrà vedere in chiaro il traffico rielaborato da C. A e B quindi si scambieranno dati senza rendersi però conto che in realtà non stanno comunicando tra loro, ma stanno entrambi comunicando con C. 

Tecnicamente parlando, ogni volta che due parti comunicano tra loro, viene stabilita la connessione TCP. Quel che l'attaccante fa in questo tipo di attacco è quello di spezzare in due la connessione tra due parti: una parte sarà tra attaccante e client, l'altra tra attaccante e il server. L'attaccante funziona quindi come un proxy. C'è anche una variante di questo tipo di attacco: l'attaccante inserisce il proprio bot nel sistema, questo raccoglie credenziali e informazioni importanti sottratte nelle comunicazioni e le invia all'attaccante stesso che lo controllo. Ecco perchè i cyber criminali sono sempre alla ricerca di reti vulnerabili. 

Per intercettare dati, i luoghi pubblici sono i più favorevoli per gli attaccanti, in quanto è sempre presente una connessione WiFi aperta: se un attaccante trova una rete scarsamente protetta, molto probabilmente cercherà di accedervi. Si frapporrà quindi tra client e server come spiegato nel paragrafo precedente. I dati intercettati però non sono intellegibili per l'attaccante, poichè sono criptati. L'attaccante decripterà i dati inviati dal client così da poterli rubare, quindi li cripterà di nuovo per inviarli al server. 

Qualche strumento di difesa contro questi attacchi

L'IPS è un sistema di protezione delle reti che protegge le aziende da attacchi esterni, tentativi di intrusione, malware e altri rischi. Analizza il traffico in entrata e identifica potenziali minacce, rispondendo alle stesse secondo regole specificate in precedenza. Scarta i pacchetti ritenuti dannosi e blocca tutto l'ulteriore traffico che dovesse provenire da quell'indirizzo IP o porta. 

L'UTM di Seqrite ha una funzione chiamata Intrusion Prevention System. Monitora e blocca i tentativi di exploit delle vulnerabilità che gli attaccanti utilizzano per interrompere o ottenere il controllo di una applicazione sulla macchina. Ha una serie di firme integrate pre configurate, che combaciano con le firme dei pacchetti di dati in ingresso. Se un pacchetto in entrata ha una firma che combacia con quelle esistenti, l'IPS scarta il pacchetto e invia immediato alert all'admin di rete.