Session Hijacking: cos’è e come funziona?

Il dirottamento della sessione, noto anche come dirottamento della sessione TCP, è un attacco informatico che si verifica durante una sessione dell'utente. Succede quando un cyberattaccante si intromette in una sessione attiva tra il server di un sito che stai visitando e il tuo PC per rubare alcune informazioni.

In una sessione dirottata, l'attaccante informatico può facilmente monitorare la tua attività. Può anche espellerti dalla sessione e subentrare se necessario.

Questo può davvero avere un impatto su di te se stai utilizzando l'internet banking e la tua sessione viene dirottata nel frattempo. L'attaccante può acquisire conoscenza del tuo ID di sessione attraverso la tua sessione di cookie, impersonare se stesso come te e trasferire denaro sul suo conto.

Sebbene questo tipo di dirottamento possa avvenire in qualsiasi modo, è più comune che si verifichi durante le sessioni di navigazione delle app Web.

---

Dirottamento della sessione: come funziona?

(Crediti immagine: SSLstore.com)

Esistono diverse tecniche utilizzate dagli hacker per eseguire il dirottamento della sessione. Questi includono il side-jacking della sessione, gli attacchi man-in-the-browser, la fissazione della sessione, l'ID del token delle sessioni prevedibile, lo sniffing della sessione e lo scripting tra siti.

Vediamoli nel dettaglio:

1 Sessione di side-jacking:

Il side-jacking della sessione viene solitamente utilizzato in caso di rete Wi-Fi non protetta. In questa tecnica, un cyberattaccante utilizza lo sniffing dei pacchetti per monitorare il traffico della rete e quindi intercetta i cookie di sessione dopo che l'utente si è autenticato sul proprio server.

Nel caso in cui il sito Web utilizzi la crittografia TLS/SSL per le sue pagine di accesso, gli aggressori possono derivare una chiave di sessione dallo sniffing dei pacchetti per impersonare l'utente e dirottare la loro sessione.

2 Attacco Man-in-the-browser:

Questo tipo di attacco è abbastanza simile agli attacchi man-in-the-middle. L'attaccante deve prima infettare il computer dell'utente con il virus Trojan. Non appena l'utente ha installato questo malware sul proprio computer, il malware Trojan attende che l'utente visiti qualsiasi sito.

Questo tipo di attacco può facilmente modificare i dettagli della transazione di qualsiasi utente e può creare varie altre transazioni alle spalle dell'utente. Poiché tutte le richieste di transazione vengono effettuate dal sistema dell'utente, i siti Web non possono identificare se sono falsi.

3 Fissazione della sessione:

Questo metodo induce un utente ad autenticare un ID di sessione non autenticato. Una volta autenticato, l'attaccante informatico può accedere al sistema della vittima.

(Crediti immagine: SSLstore.com)

4 Sessione di sniffing:

Lo sniffing della sessione è un metodo piuttosto semplice per dirottare una sessione utente. L'attaccante informatico utilizza Wireshark, il proxy OWASP Zed o qualsiasi altro sniffer per acquisire il traffico di una rete che contiene l'ID di sessione tra un client e un sito.

Una volta ottenuto, può acquisire un accesso non autorizzato utilizzando questo token.

(Crediti immagine: SSLstore.com)

5 Scripting tra siti:

I cyberattaccanti utilizzano le vulnerabilità di un server o di un'applicazione per iniettare script lato client nelle pagine Web. Per questo motivo, ogni volta che viene caricata una pagina compromessa, il browser esegue un codice arbitrario.

Se i cookie di sessione non sono impostati su HttpOnly, utilizzando gli script inseriti, gli aggressori possono accedere alla chiave di sessione, ottenendo così i dettagli necessari per il dirottamento della sessione.

6 ID token sessioni prevedibili:

Per generare l'ID di sessione, vari server Web utilizzano un modello predefinito o un algoritmo personalizzato. Se la prevedibilità di un token di sessione è elevata, è abbastanza facile prevederla. Se un hacker è in grado di analizzare vari modelli acquisendo più ID di sessione, può prevedere un ID di sessione accurato.

---

Cosa ottengono i cyberattaccanti dal dirottamento della sessione?

Con una sessione dirottata attiva, gli aggressori possono fare praticamente tutto ciò che la vittima ha avuto il privilegio di fare.

Gli attacchi possono variare da moderati a gravi. I gravi esempi di dirottamento di sessione includono il furto di informazioni di identificazione personale (PII) per il furto di identità, il trasferimento di un'enorme quantità di denaro dal conto della vittima e l'acquisto di merce dai negozi online.

Esempi di dirottamento di sessione

Utilizzando il rapporto di compressione delle perdite di dati delle richieste TLS, gli aggressori ottengono l'accesso ai cookie di accesso dell'utente, che diventano la chiave per dirottare le loro sessioni su vari siti Web di e-commerce e banche.

Un attacco come questo è arrivato alla ribalta nel settembre 2012, quando un'organizzazione di dirottatori di sessione denominata CRIME è stata coinvolta nella violazione del sito Web di un'azienda.

CRIME utilizza il metodo della forza bruta per decrittografare i cookie HTTPS per determinare gli utenti autenticati. Il browser della vittima è quindi costretto dal codice di attacco a inviare richieste HTTPS appositamente predisposte a un sito Web preso di mira e ad analizzare la variazione della loro lunghezza dopo essere stato compresso, il che aiuta a determinare il valore del cookie di sessione della vittima.

Questo può essere possibile solo poiché la crittografia TLS/SSL utilizza DEFLATE, un algoritmo di compressione che elimina le stringhe replicate.

Il codice di attacco non può leggere il cookie di sessione, ma può inserire varie stringhe e controllare i percorsi di tutte le nuove richieste. I valori dei cookie di sessione possono essere piuttosto estesi, ma sono stati sviluppati molti algoritmi per rendere gli attacchi efficienti.

Quali sono i rischi e le conseguenze del dirottamento di sessione?

Il successo del dirottamento della sessione può consentire a un utente malintenzionato di fare qualsiasi cosa la vittima possa fare. Ciò comporta diversi rischi significativi. Diamo un'occhiata ad alcuni:

1 Furto di identità:

Attraverso il dirottamento della sessione, gli aggressori possono ottenere l'accesso alle informazioni di identificazione personale degli utenti che possono essere utilizzate per rubare l'identità di questi utenti.

2 Utilizzo di SSO per ottenere l' accesso a sistemi aggiuntivi:

Abilitando il metodo Single Sign-On (SSO), gli aggressori informatici possono accedere senza sforzo a sistemi aggiuntivi, diffondendo così il rischio di dirottamento della sessione. Questo tipo di rischio è significativo per le aziende che abilitano l'SSO per i propri dipendenti.

3 Furto monetario:

Gli aggressori possono facilmente condurre varie transazioni monetarie per conto della vittima. Ciò può comportare lo shopping online tramite i dettagli di pagamento salvati e il trasferimento di denaro su un altro account.

4 Furto di dati:

Gli aggressori informatici possono rubare i dati personali o dell'azienda pre-salvati nell'app Web e utilizzarli a proprio vantaggio, il che può includere danni all'azienda/vittima.

Come puoi proteggerti dal dirottamento della sessione?

Il dirottamento delle sessioni, proprio come il phishing, è una delle crescenti minacce alla sicurezza informatica nel mondo. Sebbene ci siano diversi modi per proteggersi da un attacco informatico, ecco alcuni metodi efficaci per proteggersi dal dirottamento della sessione:

1 Modificare la chiave di sessione una volta autenticata:

Per evitare questo tipo di dirottamento tramite il metodo di correzione della sessione, è necessario modificare la chiave di sessione dopo l'autenticazione al momento dell'accesso. In questo modo, anche se l'attaccante ottiene l'accesso alla chiave di sessione effettiva, non conoscerà la chiave per l'intera sessione.

2 Usa solo HTTPS:

Per sessioni di pagina completamente sicure, è molto importante utilizzare HTTPS su ogni sito e applicazione. HTTPS assicura che la crittografia SSL/TLS sia presente per tutta la sessione.

3 Usa una VPN:

Una rete privata virtuale (VPN) è un altro modo per prevenire un attacco di dirottamento della sessione sulla rete. Una VPN maschera il tuo indirizzo IP originale e ti protegge creando un tunnel crittografato tra te e il sito web. In questo modo, nessun utente malintenzionato potrà intromettersi nella tua rete.

Ci sono vari altri servizio VPN affidabilee proteggerti dal dirottamento della sessione e da molti altri attacchi informatici.

4 Aggiungi aree aggiuntive per le informazioni sull'identità:

Puoi aggiungere un altro livello di protezione alla tua rete introducendo ulteriori informazioni sull'identità oltre alla chiave di sessione. Ciò include il controllo del solito indirizzo IP dell'utente e dei modelli di utilizzo.

5 Mantieni aggiornati i tuoi sistemi:

Abilita gli aggiornamenti automatici per mantenere aggiornato il tuo sistema su tutti i dispositivi. Puoi anche installare un software antivirus affidabile in modo da rimanere protetto da tutti i tipi di malware. Ciò includerebbe anche il malware utilizzato dagli aggressori per il dirottamento della sessione.

Puoi anche ottenere un antivirus con una VPN in modo da poter soddisfare entrambe le tue esigenze attraverso un unico software.

Conclusione

Il dirottamento della sessione è una minaccia significativa di cui gli utenti sono vittime in tutto il mondo. Tuttavia, esistono diversi modi per proteggersi da questi attacchi. Alcune misure preventive efficaci sono menzionate sopra.

Queste misure di sicurezza richiedono una profonda conoscenza dei protocolli di sicurezza e della crittografia. Se lo manchi, può portare a una significativa violazione dei dati.

Se vuoi salvare l'intera organizzazione dal dirottamento delle sessioni, devi illuminare i tuoi dipendenti con le migliori pratiche di sicurezza informatica.