Session hijacking: tutto quello che devi sapere

Che cos’è il dirottamento di sessione?

Grazie al dirottamento di sessione (chiamato anche dirottamento cookie) l’attaccante cerca di sfruttare una sessione web dell’utente ancora valida (chiamata anche ID di sessione) per ottenere l’accesso, seppur chiaramente non autorizzato, ad un’infrastruttura web.

L’attaccante sfrutta questa tecnica poiché gli permetterà di ingannare il sistema: potrà presentandosi come utente autorizzato e autenticato e parallelamente,  accedere in maniera del tutto indisturbata al server web, senza dare nell’occhio.

Questa tecnica si è diffusa a macchia d’olio a partire dagli anni 2000, grazie anche all’introduzione dell’HTTP protocol presente nella maggior parte dei siti web. Questo protocollo applicativo non era adeguatamente progettato per gestire correttamente le informazioni che venivano inserite dagli utenti: questa era la vera problematica. Oggi, al contrario grazie alla presenza dell’HTTPS e all’introduzione dei moderni cookie, la diffusione della tecnica di dirottamento di sessione si è di gran lunga arrestata.

Ad ogni modo, questo genere di attacco informatico è da conoscersi nei minimi dettagli soprattutto da parte di coloro che possiedono siti web o sono sviluppatori di applicazioni web-based. Una piccola puntualizzazione prima di addentrare nel vivo del processo: l’attacco session hijacking è esattamente indirizzato a colpire e a rubare i cookie tecnici di un sito web. L’attaccante interagisce direttamente con le informazioni di accesso ad un sito web/e-commerce o applicazione memorizzate dal browser, sostituendosi all’utente.

1. Descrizione dell’attacco
2. Come si svolge l’attacco di dirottamento di sessione
3. Tipi di attacco
4. Qual è lo scopo dell’attacco
5. Come prevenire gli attacchi di Session Hijacking

Come si svolge un attacco di session hijacking

Parliamo dalle basi: che cos’è una sessione

Normalmente un’utente che effettua l’accesso ad un portale web (su un sito o su un’applicazione web-based) inevitabilmente deve passare attraverso un processo di autenticazione. Affinché i dati di autenticazione possano restare in memoria, permettendo così all’utente di svolgere azioni all’interno di un certo lasso di tempo, l’applicazione o sito web in questione ne memorizza la sessione, in altre parole: la mantiene attiva.

Se questo processo non accadesse, l’utente dovrebbe ri-autenticarsi dopo ogni clic e questo comporterebbe un’esperienza di navigazione web impensabile e nel pratico.
Ecco, dunque, che gli sviluppatori hanno trovato un modo per tenere traccia dei parametri di accesso dell’utente grazie ad un codice chiamato ID di sessione. Normalmente una sessione resta viva fino al momento in cui l’utente si disconnette autonomamente o nel caso in cui l’utente si dimostri inattivo all’interno dell’ambiente web per un lasso di tempo prolungato. In questi due casi la sessione s’interrompe e l’utente è costretto ad un nuovo processo di autenticazione, in altre parole: dovrà nuovamente inserire le proprie credenziali di accesso.

Ebbene, nei casi di session hijacking, questo meccanismo viene manipolato dagli hacker che riescono a prendere il controllo della sessione web delle loro vittime.

Come ci riescono?

Dobbiamo sforzaci di immaginare gli ID di sessione come ad una stringa di identificazione, di solito una lunga riga contenente caratteri alfanumerici, che viene trasmessa tra il client (ovvero il pc dell’utente) e il server. I caratteri che compongono questa stringa non sono messi in ordine casuale, affatto. Molti siti web infatti, nell’algorismo che forma l’ID di sessione fanno in modo di inserire variabili come:

• ora di accesso;
• indirizzo IP.

Se gli ID di sessione diventano prevedibili e addirittura, non protetti da un sistema di crittografia, l’hacker interessato riesce ad intercettarli e a infiltrarsi nel processo.

Step attacco di session hijacking

Generalmente gli attacchi di session hijacking si svolgono seguendo questi 3 passaggi fondamentali:

• L’utente si autentica su un portale web

E fin qui nulla di anormale o pericoloso. La persona fisica decide di accedere all’applicazione web di ticketing della propria azienda o peggio ancora, al profilo del proprio e-commerce preferito. Dopo aver inserito tutte le credenziali (nome utente e password) la persona finalmente ha accesso a tutta una serie di informazioni personali. Lato server web, viene rilasciato un cookie di sessione temporaneo che tenga traccia dell’attività dell’utente mentre si trova nell’ambiente web e parallelamente mantiene in memoria tutti i dati relativi all’autenticazione.

• Il criminale ruba la sessione all’utente e agisce per conto dell’utente

Adottando una delle svariate tecniche di dirottamento esistenti, l’hacker prende il controllo della sessione dell’utente. Il metodo più diffuso è quello dell’individuazione dell’ID di sessione di cui parlavamo nel precedente paragrafo e dello sfruttamento dello stesso.

• L’hacker accede al profilo dell’utente e compie una serie di azioni illecite tra cui:

1. furto di credenziali e di informazioni personali, comprese quelle bancarie;
2. effettuate transazioni
3. diffondere malware
4. intercettare comunicazioni
5. acquisto di merce dai negozi online
6. furto d’identità e di dati dai sistemi.

Tipologie di tecniche session hijacking

Brute Force attack

Tramite una serie di studi e tentativi da parte dell’attaccante di indovinare l’ID sessione dell’utente vittima, finalmente l’hacker riesce a trovare la giusta combinazione. Solitamente, questa tipologia di attacco funziona solo se il sito web o l’applicazione web-based ha uno scarso livello di sicurezza e non è protetta da alcuna soluzione di crittografia. Se siete interessati a conoscere tutti gli aspetti degli attacchi brute force, leggete il nostro approfondimento.

XSS

Questo attacco è forse il più pericoloso tra tutte le tipologie citate qui di seguito. Anche in questo caso, l’hacker deve preventivamente analizzato la struttura che vuole attaccare e deve aver rilevato la presenza di una vulnerabilità  sul server web o nell’applicazione stessa. L’aggressore infatti a questo punto inserisce del codice dannoso nelle pagine web al fine di confondere il browser quando caricherà la pagina compromessa. Il codice dannoso infatti farà sì che agli aggressori arrivino tutte le informazioni necessarie per il dirottamento della sessione.
Anche in questo caso, se volete approfondire il tema degli attacchi XSS (cross site scripting) leggete il nostro articolo dedicato.

Man-in-the-Middle

o nella maggior parte dei casi meglio dire Man-in-the-browser. Anche in questo caso parliamo di attacco informatico mirato a colpire una specifica vittima o un gruppo di vittime circoscritto. In questo caso, l’attaccante cercherà di infettare il primis i suoi obiettivi attraverso l’invio di malware o meglio trojan. Il virus in sé per sé si attiverà ogni volta che la vittima atterrerà su un sito web o su un’applicazione ben specifica, in modo da intercettare la comunicazione e inoltrare tutte le informazioni all’hacker. Poiché le richieste vengono avviate dal computer della vittima, è molto difficile per il servizio Web rilevare che le richieste sono false.

Session fixation

o anche detta fissazione della sessione. In questo caso l’attaccante genera un ID sessione su misura e induce la vittima a utilizzarlo per la navigazione: per farlo si serve indubbiamente dell’invio di e-mail infette all’utente. Il risultato sarà che l’utente vittima viene indotta a cliccare su un link che la reindirizzerà su un modulo di accesso al sito Web e così consentirà all’aggressore di entrare senza alcun problema.

Jacking lato sessione o Session side jacking.

Avete presente quando diciamo che l’accesso alle Wi-Fi pubbliche (o anche conosciute come free Wi-Fi) può essere rischioso per la vostra sicurezza?! In questo caso parliamo esattamente di questa categoria. Gli attacchi di session hijacking possono avvenire anche attraverso la tecnica del jacking lato sessione nel caso in cui l’utente si colleghi ad una connessione pubblica ad esempio, all’interno di un bar, di una stazione dei treni o di un ristorante. L’attaccante in questo caso partecipa attivamente al processo: il criminale inizia a monitorare il traffico di rete dell’utente al fine di riuscire ad intercettare i cookie di sessione dopo che l’utente si è autenticato sul server.

Diciamo che questo caso in particolare tratta di un attacco estremamente mirato dunque, l’hacker deve necessariamente avere un motivo valido per farlo.

Che cosa cercano gli hacker attraverso il Session Hijacking

Abbiamo già brevemente anticipato quale sia il reale obiettivo di un hacker che sfrutta il metodo di session hijacking per attaccare un sito web: indubbiamente, arrivare alle informazioni strettamente personali delle vittime. Anche se il mezzo che viene utilizzato per portare a termine l’attacco è il sito web o un software web-based, l’intento non è certo quello di arrecare danno all’infrastruttura di riferimento.

Piuttosto, l’attaccante è interessato a quello che l’infrastruttura web nasconde: le informazioni degli individui.

Prevenire il Session Hijacking

Lo sfruttamento di sessione perpetrato da parte di un attaccante è un serio problema di sicurezza, soprattutto per quelle infrastrutture che permettono agli utenti l’accesso a informazioni riservate e che tali devono rimanere.

Previo ogni consiglio o soluzione cybersecurity necessaria, dobbiamo però fare una breve premessa.
Normalmente, le infrastrutture web che permettono l’accesso a dati riservati, dovrebbero essere protette da questo genere di attacchi (e nella maggior parte dei casi lo sono). Tuttavia esistono delle eccezioni alla regola che mettono a repentaglio la sicurezza delle informazioni tali per cui meglio essere al corrente di quali azioni mettere in campo per una migliore prevenzione.

In primis, affidatevi a siti web sicuri che prevedano certificati SSL e HTTPS. Se il sito web in questione prevede la presenza di un meccanismo a doppia autenticazione, adottatelo il prima possibile

L’utilizzo di negozi online non conosciuti o il ricorso a pagine web di fornitori che potrebbero non avere tutti i requisiti di sicurezza necessari può rendervi vulnerabili a un attacco di dirottamento della sessione. Inoltre, evitate SEMPRE l’accesso a Wi-Fi o connessioni libere: questo vi consente di mantenere le distanze da tutti gli altri utenti malintenzionati che sfruttano queste connessioni come bacino di possibili vittime. Per quanto vi sia possibile, soprattutto per motivi di lavoro, utilizzate le reti VPN per la connessione e per mantenere riservate le vostre attività online.

Protezione dei siti e applicazioni web contro il Session Hijacking

Se siete proprietari di un sito web o di un software web-based, vi consigliamo di implementare il servizio di monitoraggio di sicurezza web tramite Vulnerability Assessment.

Eseguire periodicamente dei check-up di sicurezza informatica della vostra infrastruttura web garantisce una protezione totale dagli attacchi che sfruttano la presenza di vulnerabilità e riduce drasticamente il rischio di furto dati.