Il caso

Tre ricercatori italiani hanno scoperto come neutralizzare l’autenticazione a due fattori

Tre ricercatori italiani hanno scoperto come neutralizzare l’autenticazione a due fattori
(ansa)
All’università del Salento dimostrano un metodo efficace per aggirare la sicurezza delle transazioni online e avvisano Google, Apple & Co., che però non hanno soluzioni
3 minuti di lettura

E se l’autenticazione a due fattori non fosse così sicura come pensiamo? Fino a ieri la possibilità di usare un altro pin, una seconda password, ricevute via app o sms ci sembrava il modo migliore per proteggere il tesoretto digitale della nostra vita onlife, ma adesso le nostre certezze vacillano: tre ricercatori italiani hanno dimostrato che anche questo secondo livello di sicurezza può essere neutralizzato e, per un hacker malevolo, in maniera relativamente semplice.

Franco Tommasi, professore associato di Elaborazione delle Informazioni presso il Dipartimento di Ingegneria dell’Innovazione dell’Università del Salento, coautore di uno standard Internet, insieme a Christian Catalano e Ivan Taurino, hanno messo a punto un tipo di attacco informatico che permette di bypassare l'autenticazione a due fattori (2FA). Ed è una notizia che adesso preoccupa anche gli esperti di cybersecurity fuori dell’Accademia. Di fronte all’emergere massiccio della criminalità informatica che sfrutta largamente il furto delle credenziali e le password deboli per entrare nella vita delle vittime bersaglio, la 2FA ha rappresentato un grosso passo avanti dal punto di vista della sicurezza limitandone i rischi essendo capace di arginare anche i cosiddetti attacchi a “forza bruta”, ma la ricerca prodotta dai tre scienziati spiega come la sua efficacia sia drasticamente ridotta per gli utenti meno accorti.

Il punto è che nonostante la comunicazione data dai ricercatori a Mozilla, Google e Apple, il metodo sfruttabile per l’attacco funziona ancora a distanza di quasi un anno dalla sua dimostrazione scientifica.

 

Come funziona l'attacco

La descrizione degli effetti pratici dell’attacco è relativamente semplice. L’attacco è avviato con la tecnica del phishing ma, a differenza di quanto accade di solito per questo tipo di attacchi, l’utente non è ridiretto a un sito fasullo che gli appare come quello che credeva di visitare, permettendo così agli attaccanti di impadronirsi delle credenziali (cosa inutile se è attiva l’autenticazione a due fattori), ma viene effettivamente condotto a visitare il sito autentico. E per tale motivo gli studiosi l’hanno chiamato “Browser-in-the-Middle (BitM) attack”. I ricercatori hanno infatti dimostrato come possano porsi tra l’utente e il sito e, senza che lui se ne accorga, facendogli visualizzare nel suo browser un altro browser che fa da intermediario, perfettamente identico o con delle modifiche. E a quel punto il gioco è fatto.

Facciamo un esempio pratico: un utente riceve un messaggio che lo invita a visualizzare una comunicazione della sua banca. Se lui clicca sul link che gli viene fornito, visiterà un sito dell’attaccante che a sua volta andrà a visitare il sito della banca. La vittima introdurrà le credenziali, che l’attaccante leggerà, perché in realtà le ha fornite a lui, e le userà per entrare nel sito autentico. Il sito autentico invierà sul cellulare della vittima la richiesta di conferma (ovvero l’autenticazione a due fattori, con password, impronte digitali, riconoscimento facciale) che naturalmente la vittima fornirà. A questo punto il sito mostrerà all’attaccante ciò che avrebbe dovuto mostrare alla vittima e l’attaccante glielo riporterà esattamente. Se a questo punto la vittima vorrà avviare delle operazioni, per esempio un bonifico, l’attaccante potrà intercettare l’IBan del destinatario e modificarlo, insieme alla cifra da versare, inviando il versamento a un altro destinatario.

“Alla base del metodo c'è lo stesso protocollo usato per controllare lo schermo di un computer remoto – ci spiega il professor Tommasi -. Nel nostro caso la vittima visualizza lo schermo dell’attaccante, un browser web a tutto schermo che sta in realtà sta ‘visitando’ il sito autentico. La vittima così interagisce con il computer dell’attaccante senza rendersene conto, credendo di stare visitando il sito autentico”.

 

Il plagio

L’articolo che descrive il metodo è stato pubblicato online da una rivista internazionale, l’International Journal of Information Security il 17 aprile del 2021. Ancora prima di procedere alla pubblicazione, per prudenza, i ricercatori avevano avvisato alcuni tra i maggiori sviluppatori di browser web (Google, Apple) limitando la pubblicità dell’attacco, consapevoli della sua micidiale efficacia e ricevuto evidenti manifestazioni d’interesse come si legge dalle email di risposta che abbiamo potuto leggere.

“Con nostra sorpresa però nel febbraio 2022 ci siamo accorti, visitando alcuni siti dedicati alla sicurezza, che un hacker anonimo, mr.d0x, ha esposto il nostro metodo, proclamandosene l’autore. Abbiamo cercato garbatamente di fargli presente il suo errore via Twitter (apparentemente l’unico modo di comunicare con questo sconosciuto) ma lui ha risposto bloccando il nostro account”.

Oltre al danno, la beffa, insomma. In seguito purtroppo è successo quello che accade frequentemente sul web, dove tutti si appropriano di tutto. Il mondo della sicurezza che frequenta poco le riviste accademiche ha dato grande risonanza alla rivendicazione dell’hacker e solo in pochi hanno riconosciuto nei ricercatori italiani, sia pure tardivamente, i veri inventori dell’attacco. “Naturalmente la cosa ci è spiaciuta non poco, anche se siamo sicuri che, come si dice, il tempo sia galantuomo” ci ha detto il professore a cui abbiamo chiesto se avesse avviato delle azioni per tutelare la proprietà intellettuale del lavoro del suo team Non è facile avviare un’azione legale contro uno sconosciuto del quale non si conosce neanche la nazione di residenza. Inoltre non si tratta di qualcosa che abbia un immediato valore commerciale, ma siamo intenzionati a farlo”.

Il guaio è che lo stesso mr.d0x ha testato l’attacco il 23 febbraio 2022 dimostrando che funzionava ancora, ben 11 mesi dopo le comunicazioni dei ricercatori ai vendor e la pubblicazione del paper, mentre Tommasi, Catalano e Taurino hanno potuto dimostrare la sua efficacia con il browser Chrome di Google fino a pochi giorni fa. “Purtroppo si tratta di un attacco difficile da bloccare e l’unica contromisura efficace è prevenire il phishing ma - continua il professore Tommasi - “per quanto ci si sforzi ci sarà sempre qualcuno che ci casca”.