Session Hijacking: cos’è e come funziona

Il session Hijacking o dirottamento di sessione, è una tecnica utilizzata per dirottare i cookie sulla macchina attaccante e ricevere l’accesso non autorizzato.

Ne abbiamo già sentito parlare nell’argomento Phishing.

 

Come funziona

Prendiamo in considerazione l’attacco MITM, un attacco che spesso viene effettuato in una rete pubblica.

L’attaccante intercetta il flusso di dati fra la vittima e il server di destinazione, dunque crea così u nodo che fa da tramite alla connessione.

Per capirci meglio i dati inviati faranno questo ciclo:  PC Utente -> Macchina Attaccante -> Router -> Server di destinazione (Facebook)

Così facendo, l’attaccante avrà a disposizione tutti i cookie che vengono trasmessi fra utente e destinazione, gli basterà solo copiare il contenuto dei cookie e utilizzarli per avere l’accesso al profilo.

Esistono altre tipologie di attacchi con lo stesso fine:

  • Fissaggio della sessione: Questo metodo consiste nell’appropriarsi del SID della vittima. Il SID è quel codice che identifica l’utente sul sito, ad esempio www.sitoinsicuro.it/?ID=0Q1234W56789ER, l’attaccante, sa che la vittima visita un sito poco sicuro, dunque invierà alla vittima un link contenente un SID da lui generato. Una volta che la vittima visiterà il sito con quel sid, automaticamente il server, fisserà la sua sessione con il sid creato dall’attaccante. Da quel momento conoscendo la sua identità, potrà abusare dei contenuti privati della vittima.
  • Sniffing: Come nell’esempio dell’attacco man-in-the-middle, consiste nell’intercettare i flussi di pacchetti e appropriarsi dei cookie della vittima.
  • Scripting cross-site (XSS): L’attaccante genera uno script sulla sua pagina web,  a prima vista può sembrare innocuo, come ad esempio un filmato, o una slide immagini, anche il sito stesso non rileva anomalie sul contenuto dello script. Ma interagendo con esso, l’attaccante potrebbe catturare la sessione dell’utente vittima, o clonare i cookie utilizzati per l’accesso.
  • Malware: Quando si parla di queste cose non manca mai questa voce. Si tratta di software malevolo che ha la capacità di catturare le sessioni, clonare i cookie, o generare il dirottamento del browser, (browser hijacking).

 

Come difendersi

Non inserite mai vostre informazioni personali in questi casi:

  • Connessioni pubbliche, dunque hotspot dei bar, tavole calde.
  • WiFi liberi, molti attacchi sfruttano la generazione di hotspot liberi da password per eseguire ad esempio attacchi MITM.
  • Prima di inserire numeri di carta di credito e codice su un sito, assicuratevi che questo abbia i certificati SSL, ossia risulti HTTPS invece che HTTP. Questa tipologia di protocollo si occupa di crittografare il flusso dei dati fra utente e server.
  • Avere un buon antivirus.