Logo SISR

Sistema di informazione per la sicurezza della Repubblica

Home
  >  
Cosa facciamo
  >  
Consapevolezza Digitale
  >  
Tipologie di attacco
  >  
hijacking
hijacking

Hijacking

Descrizione

Il termine hijacking (dal termine inglese hijack, “dirottare”) indica una tecnica di attacco che consiste nel modificare opportunamente determinati attributi di una comunicazione Client-Server volta a indirizzare la vittima verso risorse malevole o, viceversa, per veicolare verso l’attaccante il flusso di comunicazione legittimo tra risorsa e vittima.

Di seguito sono elencati alcuni dei campi di applicabilità:

Browser Hijacking: permette ad un attaccante l’applicazione, sul dispositivo target, di modifiche volte a garantire l’instaurazione di connessioni artificiose presso risorse remote di interesse. Uno scopo classico di questa tecnica è quello di incrementare i guadagni derivanti dalle inserzioni pubblicitarie.

Session Hijacking: permette ad un attaccante lo sfruttamento di una normale sessione di lavoro della vittima al fine di ottenere l’accesso non autorizzato a informazioni. Tale tecnica si può perpetrare tramite il furto di cookies o di token di sessione, utilizzati per autenticare un utente su un sistema remoto (ad esempio, Gmail, Paypal, eBay, etc.).

IP hijacking: (detto anche BGP hijacking, o route hijacking) riguarda l’acquisizione illegittima di IP tramite l’alterazione delle tabelle di routing. L’attacco impatta l’assegnazione dinamica degli IP afferenti alle routing table dei router di instradamento di Internet. È un attacco molto complicato e può portare al dirottamento del flusso di navigazione Internet di intere nazioni.

Prevenzione

Per i primi due casi in esame, tale tipologia di attacco prevede una violazione preventiva del dispositivo target. Dal punto di vista dell’utenza, è sempre opportuno munirsi di soluzioni anti-malware e, contestualmente, prestare attenzione durante la fase di navigazione o interazione con file provenienti da fonti esterne (email, link, dispositivi mobili, etc.) per prevenire l’infezione del dispositivo utilizzato.

Perpetrare un attacco come l’IP hijacking, invece, richiede elevate conoscenze ed elevate capacità. La Resource Public Key Infrastructure (RPKI), progettata per autenticare le route origins tramite l’utilizzo di certificati atti a dimostrare la proprietà degli indirizzi, potrebbe prevenire questo tipo di inconvenienti. Questo meccanismo di difesa, tuttavia, non è ancora largamente adottato.

Risposta

Nel caso si rilevi un’infezione relativa alle prime due casistiche, una bonifica o un reset del dispositivo è altamente consigliato.

Per quanto riguarda tipologie di attacco quali l’IP hijacking, una rapida applicazione del protocollo RPKI può inibire totalmente eventuali azioni malevole. In caso contrario, una rapida riqualifica delle tabelle di routing deve essere predisposta.