Ano ang isang Tao sa Gitnang pag-atake at paano ko maiiwasan ito?

Tao sa atake sa GitnangAng pag-atake ng Tao sa Gitnang (MitM) ay umagang mula pa ng madaling araw. Ang prinsipyo ay simple – isang masamang tao ang nagpasok ng kanyang sarili sa gitna ng isang pag-uusap sa pagitan ng dalawang partido, at isinasalaysay ang mga mensahe ng bawat isa nang walang alinman sa partido ang nakakaalam sa ikatlong tao. Sa isang konteksto sa internet, nangangahulugan ito na ang gitnang partido ay may kakayahang basahin ang lahat ng ipinadala ng alinman sa partido at baguhin din ito.


Paano gumagana ang isang Lalaki sa Gitnang pag-atake?

Sa mga araw na yore ang pariralang tinukoy sa isang literal na tao sa gitna. Ipapadala ni Heneral Bob ang kanyang messenger sa kabayo upang sabihin kay Colonel Alice na atakehin ang kaliwang flank. Ang Lady Mallory, isang masamang (wo) na lalaki sa gitna, ay mag-aaklas sa messenger at magnakaw ng mensahe. Ibabago niya ang mensahe kay Colonel Alice na nag-uutos sa kanya na bumalik, at magpadala ng tugon pabalik kay General Bob na kinikilala ang orihinal na mga utos ng flanking. Pagkaraan ng ilang sandali, nawalan ng digmaan si Heneral Bob sa isang nakamamanghang taktikal na pagkapahiya dahil ang kanyang kaliwang flank ay ganap na hindi protektado.

Ang pag-atake sa MitM sa Internet ay kumukuha ng parehong anyo. Ang isang karaniwang pag-atake ng MitM ay para sa Mallory na mag-set up ng isang pekeng wireless access point sa isang pampublikong lokasyon; isang coffee shop halimbawa. Binibigyan niya ang pekeng access point ng isang lehitimong tunog ng tunog tulad ng ‘coffeeshop-customer-free-wifi’ at bago ang mahabang mga customer ay nagsisimulang kumonekta sa access point na iyon sa halip na ang lehitimong. Sa puntong iyon, ipinasok ni Mallory ang kanyang sarili sa stream ng data sa pagitan ng iyong aparato at sa internet nang malaki, at maaaring makuha ang lahat ng iyong trapiko. Kung hindi ka gumagamit ng pag-encrypt, nangangahulugan din ito na mabasa ng Mallory ang lahat ng iyong trapiko at potensyal na baguhin ito.

Ang ilang posibleng mga kinalabasan ng interception na ito ay:

Session hijacking: Isaalang-alang ang kaso kung saan gumagamit ka ng webmail upang magpadala ng email. Kapag nag-log in ka sa iyong webmail, nakuha ni Mallory ang isang kopya ng iyong cookie authentication nang maipadala ito sa iyong browser, at maaari na niyang magamit ang cookie na iyon upang ma-access ang iyong webmail..

Tandaan: Sa mga naunang artikulo na inilarawan ko kung paano gumagana ang web, kumpara sa kung paano kami sinabi sa ito gumagana. Hindi kami “nag-log” sa mga website. Sa halip, hinihiling ng aming browser ang website na pagkatapos ay ipinadala sa aming lokal na computer. Pagkatapos ay ipinasok namin ang aming mga kredensyal sa pag-login na ipinadala sa website ng server. Kung tama ang mga kredensyal, tutugon ang web site na may ilang uri ng pagpapatunay na token, karaniwang isang cookie. Kapag gumawa kami ng karagdagang mga kahilingan mula sa aming computer, ang cookie na iyon ay ipinadala kasama ang mga kahilingan upang malaman ng website kung sino kami at hindi kami pinapasok sa tuwing nais naming pumunta sa isa pang pahina. Ang cookie na iyon ay isang sensitibong token at mahalaga kung ninakaw.

Pag-atake ng replay: Maaaring magsagawa ng pag-atake ng replika si Mallory. Dahil mayroon siyang lahat ng iyong data, posible na ‘i-replay’ ang isang bagay na iyong nagawa. Halimbawa, kung ililipat mo ang 100 na mga Runescape credits sa iyong kaibigan, muling ipadala ang mga packet na binubuo ng orihinal na paglilipat ay maaaring magdulot ng isa pang paglipat at makalabas ka na ng 200 mga kredito.

Binago ang nilalaman: Bumalik sa halimbawa ng webmail, marahil ay nagtuturo ka sa iyong abogado na pigilan ang mga pondo ng isang kamakailang ligal na transaksyon. Yamang mayroon ang lahat ng mga packet na binubuo ng email na ito, maaaring mabago niya ang salitang ‘withhold’ upang ‘mailabas’ ‘at magdulot ng lahat ng uri ng pagkalito. Ito ay isang tanyag na uri ng pag-atake ng MitM na nakita namin na ginamit sa mga pag-atake ng Kodi Media Center, at ito rin ang kathang-isip na pag-atake na Mallory na ginamit upang ibagsak ang Pangkalahatang Bob.

Nawawalang laman: Ang isa pang pagkakaiba-iba ng binagong nilalaman ay upang maging sanhi ng simpleng nilalaman ng kabuuan. Marahil naghihintay ka ng ilang signal upang gumawa ng isang bagay. Maaaring tiyakin ng mallory na hindi ito darating.

Anong proteksyon ang umiiral upang maiwasan ang pag-atake ng Tao sa Gitnang?

Sa kabila ng walang katapusang mga paraan kung saan maaaring maganap ang mga pag-atake na ito, kakaunti lamang ang ilang mga bagay na sinasamantala nang paulit-ulit. Upang maprotektahan laban sa mga pag-atake ng MitM, ang mga sumusunod ay dapat na umiiral:

Hindi pagtanggi: Ang mensahe ay nagmula sa tao o aparato na sinasabi na nagmula ito.

Integridad ng mensahe: Ang mensahe ay hindi nabago mula nang iwanan nito ang kontrol ng nagpadala

Tandaan na ang salitang ‘mensahe’ ay ginagamit na pangkalahatang ginagamit sa maraming konsepto tulad ng kumpletong email, o mga data packet na mas mababa sa salansan. Ang parehong mga konsepto ay nalalapat, anuman ang uri ng data.

Ang mga paraan kung saan maiiwasan ang maging biktima ng isang atake ng MitM ay kasama ang:

Gumamit ng HTTPS hangga’t maaari

HTTPS banner

Nakikita ang HTTPS sa iyong browser address bar na nagsisiguro na ang iyong koneksyon sa website ay naka-encrypt. Hindi ito nangangahulugang dapat kang magtiwala sa website na higit pa kaysa sa iba pa, nangangahulugan lamang ito na ang iyong data ay naka-encrypt habang naglalakbay ito sa pagitan ng iyong aparato at site. Ang mga nakakahamak na website ay maaaring maglaro ng isang bahagi sa pag-set up ka para sa isang pag-atake ng MitM, kaya binabayaran nito na maging maingat sa bawat website na binibisita mo upang matiyak na lehitimong magsimula sa.

Ang HTTPS ay gumagamit ng Security Layer Security (TLS).

Tandaan: Ang TLS ay halos hindi tama na tinutukoy na SSL (Secure Sockets Layer). Ang SSL ay isang hinalinhan sa TLS ngunit tila natigil ang pangalan.

Ang TLS at HTTP ay nagtutulungan upang makagawa ng HTTPS na nagbibigay ng pag-encrypt at hindi pagtanggi. Kapag kumokonekta muna ang iyong browser sa isang site ng HTTPS, nakikipag-usap ito sa server. Sa panahon ng prosesong ito, sinusuri ng browser ang sertipiko ng server upang mapatunayan na kumokonekta ito sa site na iniisip nito (hindi pagtanggi) at bumubuo din ng isang hanay ng mga key key encryption. Ang mga susi na iyon ay ginagamit sa buong kasunod na sesyon upang i-encrypt ang data kung saan ay sisiguro ang integridad ng mensahe.

Para sa Mallory na matagumpay na mababago ang data na ipinadala mula sa server sa iyo, kakailanganin niyang magkaroon ng parehong mga key at browser session ng browser, alinman sa alinman ay kailanman naipadala. Nangangahulugan iyon na magkakaroon siya ng kontrol sa parehong kliyente at server at kung iyon ang kaso hindi kinakailangan na mag-mount ng isang pag-atake ng MitM sa unang lugar.

Mayroong mga plugin ng browser na mapipilit ang iyong browser na gumamit ng HTTPS tuwing magagamit ito sa isang site. Dahil maraming mga site ang sumusuporta sa HTTPS, ngunit hindi kinakailangang na-configure upang pilitin ang mga browser na gamitin ito, ang mga plugin na tulad nito ay makakatulong sa maraming.

Gumamit ng isang browser na sumusuporta sa Public Key Pinning

Ang ilang mga pag-atake ng MitM ay maaaring maging mas detalyado. Dahil ang isang napakahusay na proteksyon ay nagmumula sa TLS at pag-encrypt, at dahil mahirap masira ang pag-encrypt, mas madali para sa mga advanced na attackers na gayahin ang isang website sa halip. Halimbawa, ang mga sertipiko ng TLS ay pinagkakatiwalaan ng mga browser sapagkat nilagdaan nila ng Mga Awtoridad ng Sertipiko (CA) na pinagkakatiwalaan ng browser. Kung matagumpay na kinompromiso ni Mallory ang isang CA pagkatapos ay maaaring maglabas siya ng mga wastong sertipiko para sa anumang domain na mapagkakatiwalaan ng mga web browser. Sa sandaling matagumpay na maiugnay ni Mallory ang isang lehitimong website, ang natitirang hamon ay upang makuha ang mga gumagamit na bisitahin ang site na iyon sa pamamagitan ng karaniwang mga pamamaraan sa phishing.

Ito ang nangyari noong 2011 nang ang Dutch CA DigiNotar ay nakompromiso at nilikha ang mga sertipiko upang linlangin ang isang malaking bilang ng mga gumagamit ng Iranian sa pagbibigay ng kanilang mga Google usernames at password.

Ang HTTP Public Key Pinning (HPKP) ay isang pamamaraan kung saan maaaring ipagbigay-alam ng mga may-ari ng website ang mga browser kung saan ang mga pampublikong susi ang gagamitin ng website. Kung ang isang browser ay bumibisita sa site na iyon at ipinakita sa ilang iba pang pampublikong susi na wala sa listahan, iyon ay isang tagapagpahiwatig na ang site, o hindi bababa sa sertipiko ng TLS, ay hindi wasto.

Ang pag-pin ay dapat gawin ng may-ari ng server, ngunit maaari mong maprotektahan ang iyong sarili bilang isang gumagamit sa pamamagitan ng paggamit ng isang browser na sumusuporta sa Public Key Pinning. Hanggang sa petsang ito, sinusuportahan ito ng Firefox (bersyon 32), Chrome (bersyon 56), at Opera (33); Ang Internet Explorer at Edge ay hindi. Ang Firefox ay may setting tungkol sa: config na pinangalanang security.cert_pinning.enforcement_level; 1 na nagpapahintulot sa iyo na huwag paganahin ang HPKP, ngunit bakit mo ito gagawin? Kung nais mong subukan kung sinusuportahan ng iyong browser ang HKPK, bisitahin ang URL ng pagsubok na HPKP. Nagtatanghal ito ng mga header ng HPKP at isang hindi wastong pampublikong susi. Kung sinusuportahan ng iyong browser ang HPKP, magpapakita ito ng isang mensahe ng error.

Gumamit ng isang Virtual Pribadong Network (VPN)

VPN mosaik

Lumilikha ang isang VPN ng isang naka-encrypt na lagusan sa pagitan ng iyong aparato at ng VPN server. Ang lahat ng iyong trapiko ay dumadaan sa tunel na ito. Nangangahulugan ito na kahit napipilitan kang gumamit ng isang site na hindi HTTPS, o kahit na na-trick ka sa paggamit ng isang malisyosong wifi access point, pinapanatili mo pa rin ang ilang antas ng proteksyon laban sa MitM.

Isaalang-alang, ang isyu ng punto ng pag-access sa wifi. Kung nakakonekta ka sa pekeng access point ng Mallory, makikita ng Mallory ang lahat ng iyong trapiko. Ngunit, dahil ang lahat ng iyong trapiko ay naka-encrypt kapag gumagamit ng isang VPN, ang lahat ng nakukuha niya ay isang bungkos ng hindi mabasa na naka-encrypt na mga blobs na nagbibigay ng napakaliit na data. Ang paggamit ng isang VPN sa lahat ng oras ay isang magandang ideya, ngunit ang paggamit nito sa mga mahirap na sitwasyon tulad ng pampublikong wifi ay dapat.

Gumamit ng isang browser na sumusuporta sa HTTP Strict Transport Security (HSTS)

Ang HTTPS ay isang napakahusay na hakbang patungo sa pagpigil sa pag-atake ng MitM sa web, ngunit may potensyal na kahinaan din doon. Upang ang isang may-ari ng website na pilitin ang mga bisita na gumamit ng HTTPS, mayroong dalawang pagpipilian. Ang una ay upang i-shut down ang hindi naka-encrypt na HTTP port 80 sa kabuuan. Nangangahulugan ito na ang mga taong nagtatangkang maabot ang site gamit ang http: // ay walang makakakuha at mawawala na lamang ang site. Hindi nais ng karamihan sa mga may-ari ng website na magkaroon ng negatibong karanasan ang kanilang mga bisita kaya’t sa halip ay iniiwan nila ang port 80 na bukas, ngunit gagamitin lamang ito upang magpadala ng isang HTTP 301 redirect code na nagsasabi sa mga browser na pumunta sa https: //.

Sa pagsasagawa, gumagana ito nang maayos, ngunit mayroong isang pagkakataon para sa isang umaatake na magsagawa ng isang Downgrade Attack sa panahon ng pag-redirect. Ang isang pag-atake ng pagbagsak ay maaaring pilitin ang isang web server na gumamit ng mas mahina na mga cryptographic ciphers na ginagawang mas madali ang kasunod na pag-atake ng MitM. Ang mga website na gumagamit ng HSTS ay nagpapadala ng mga header sa browser sa panahon ng pinakaunang pagkonekta na nagdidirekta sa browser upang magamit ang HTTPS. Pagkatapos ay idiskonekta ng browser ang umiiral na session, at muling kumokonekta gamit ang HTTPS. Habang ito ay maaaring tila tulad ng isang maliit na pagkakaiba-iba, binabawasan nito ang pag-atake ng vector ng karaniwang HTTP sa pag-redirect ng HTTPS. Halos lahat ng mga modernong browser ay sumusuporta sa HSTS ngunit maraming mga browser sa merkado, kaya binabayaran nito upang kumpirmahin na sinusuportahan ito ng iyong tukoy na browser.

Inelegant MitM atake

Kapansin-pansin din na ang ilang mga pag-atake ng MitM ay medyo hindi karapat-dapat at pangunahing. Halimbawa, nang hindi gaanong teknikal na kadalubhasaan, maaaring mag-set up ang Mallory ng dalawang mga email address na malapit na tumutugma kina Alice at Bob at pagkatapos ay magsimula ng isang pag-uusap sa isa sa kanila, na pinapalagay na maging iba pa. Dahil maraming mga kliyente ng email lamang ang nagpapakita ng mga pangalan ng mga address at hindi ang kanilang email address, ang ruse na ito ay gumagana nang mas madalas kaysa sa dapat. Pagkatapos ay posible para sa Mallory na mapatakbo ang parehong mga kahon ng email at manatili sa gitna ng pag-uusap nang walang hanggan.

Ang pinakamahusay na pagtatanggol laban sa ganitong uri ng pag-atake ng MitM ay maging maingat. Maghanap ng mga palatandaan na hindi pangkaraniwang tulad ng hindi pangkaraniwang wika at mag-hover sa email address ng nagpadala upang matiyak na ito ay lehitimo.

Mga halimbawa ng kilalang pag-atake ng MitM

Naantig ako sa MitM wifi at na-replay na ang pag-atake, ngunit halos walang limitasyon sa kung paano magagamit ang pangkalahatang pamamaraan ng MitM bilang isang pag-atake. Anumang proseso na mayroong dalawa o higit pang mga partido na nakikipag-usap (spoiler: iyon lahat) ay may tamang bagay para sa isang masamang tao na mag-iniksyon ng kanyang sarili sa gitna.

Pagkalason sa ARP: Ang Address Resolution Protocol ay ang unsung bayani ng IP networking na nagsisiguro na dumating ang mga packet sa eksaktong network card na kanilang tinukoy. Kapag ang isang packet ay pumapasok sa patutunguhang LAN, kailangang malaman ang Media Access Control (MAC) address ng network card na tinukoy nito. Ito ay nagawa ng isang ARP na humiling na humihiling sa bawat computer sa lokal na network na “kung sino” ang patutunguhang IP address ng packet. Sa teorya, itinalaga ng network ng kard na tumugon ang IP address kasama ang MAC address nito at naihatid ang packet. Sa pagsasagawa, walang pagpapatunay na itinayo sa protocol ng ARP upang masagot ng Mallory na mayroon siyang IP na iyon at maihahatid sa kanya ang trapiko. Upang gawin ang pag-atake na ito bilang isang bona fide MitM, kailangan din niyang tiyakin na ang packet ay maipapasa sa tamang MAC address din.

Pagnanakaw sa Port: Ito ay isang advanced na pag-atake na maaaring magamit sa mas malaking mga network na nagtatrabaho sa mga switch ng network. Ang mga paglilipat ay naglalaman ng isang talahanayan ng Nilalaman na Naa-access sa Memory (CAM) na nagtala ng mga ugnayan sa pagitan ng mga MAC address ng mga network card na serbisyo nito at ang kanilang mga kaukulang port. Kung walang ibang pag-setup ng seguridad, pagkatapos ng talahanayan ng CAM ay dinamikong itinayo at itinayo muli sa bawat packet na nakikita ng switch. Ang isang magsasalakay ay maaaring makamit ang isang packet na may address ng MAC ng biktima at ang switch ay mairekord ang samahan. Nangangahulugan ito na ang kasunod na mga packet na nakalaan para sa biktima ay ipadala sa attacker sa halip.

Ang mga pag-atake ng MitM ay napakahirap upang makita at walang mga “pilak na bala” na panlaban laban dito. Lalo na, ang kawalan ng kakayahang ito na ganap na ipagtanggol laban sa pag-atake ng MitM ay nagmumula sa katotohanan na halos walang katapusan sa mga uri ng pag-atake na maaaring isipin ng isang masamang tao. Ang proseso ng pagkuha ng isang packet ng data mula sa iyong computer patungo sa isang server sa isang lugar sa internet ay nagsasangkot ng maraming mga protocol, maraming mga aplikasyon, at maraming mga aparato tulad ng mga router at lumilipat ang lahat na may potensyal na mapagsamantala. Ang pinakamahusay na magagawa mo ay ang maging “mataas na nakabitin na prutas” at gumawa ng mga hakbang upang mas mahirap na maging biktima ng pag-atake ng MitM. Karamihan sa mga pag-atake ay naglalayong sa malaking bilang ng mga tao upang magbigay ng pinakamalaking potensyal para sa tagumpay. Maliban kung na-target ka ng isang kalaban, ang mga hakbang sa artikulong ito ay dapat magbigay ng magandang pagtatanggol.

Maaari mo ring i-like ang VPNUtindi ang pag-log ng VPN at mga search warrantsVPN70 + karaniwang mga online scam na ginagamit ng mga kriminal at pandarayaVPNHPaano tanggalin ang spyware nang libre at kung aling mga tool na gagamitin ng VPNWhere are VPNs legal at saan ipinagbawal?

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map