Một người đàn ông trong cuộc tấn công giữa là gì và làm thế nào tôi có thể tránh nó?

Người đàn ông giữa cuộc chiếnCác cuộc tấn công của Man in the Middle (MitM) đã xuất hiện từ buổi bình minh của thời gian. Nguyên tắc rất đơn giản – một kẻ xấu chen mình vào giữa cuộc trò chuyện giữa hai bên và chuyển tiếp tin nhắn của nhau mà không có bên nào biết về người thứ ba. Trong bối cảnh internet, điều này có nghĩa là bên trung gian có khả năng đọc mọi thứ được gửi bởi một trong hai bên và cũng thay đổi nó.


Một người đàn ông ở Trung tấn công như thế nào?

Trong những ngày qua, cụm từ được gọi là một người theo nghĩa đen ở giữa. Tướng Bob sẽ phái sứ giả của mình lên lưng ngựa để nói với Đại tá Alice tấn công cánh trái. Lady Mallory, một người đàn ông độc ác (wo) ở giữa, sẽ phá hoại tin nhắn đó và đánh cắp tin nhắn. Sau đó, cô ấy thay đổi tin nhắn cho Đại tá Alice hướng dẫn anh ta quay trở lại, và gửi phản hồi lại cho Tướng Bob thừa nhận các mệnh lệnh sườn. Ngay sau đó, Tướng Bob thua cuộc trong một sự bối rối chiến thuật tuyệt đẹp vì sườn trái của anh ta hoàn toàn không được bảo vệ.

Các cuộc tấn công Internet MitM có hình thức tương tự. Một cuộc tấn công MitM phổ biến là để Mallory thiết lập một điểm truy cập không dây giả ở một địa điểm công cộng; một quán cà phê chẳng hạn. Cô đặt cho điểm truy cập giả một cái tên nghe có vẻ hợp pháp như ‘coffeeshop-khách hàng-wifi miễn phí và trước khi khách hàng bắt đầu kết nối với điểm truy cập đó thay vì tên hợp pháp. Vào thời điểm đó, Mallory đã tự đưa mình vào luồng dữ liệu giữa thiết bị của bạn và internet và có thể nắm bắt tất cả lưu lượng truy cập của bạn. Nếu bạn không sử dụng mã hóa, điều đó cũng có nghĩa là Mallory hiện có thể đọc tất cả lưu lượng truy cập của bạn và có khả năng sửa đổi nó.

Một số kết quả có thể xảy ra của việc đánh chặn này là:

Chiếm quyền điều khiển phiên: Hãy xem xét trường hợp bạn sử dụng webmail để gửi email. Khi bạn đăng nhập vào webmail của mình, Mallory đã lấy một bản sao cookie xác thực của bạn khi nó được gửi đến trình duyệt của bạn và bây giờ cô ấy cũng có thể sử dụng cookie đó để truy cập webmail của mình.

Lưu ý: Trong các bài viết trước, tôi đã mô tả cách thức hoạt động của web, so với cách chúng tôi được thông báo. Chúng tôi không đăng nhập trên mạng vào các trang web. Thay vào đó, trình duyệt của chúng tôi yêu cầu trang web sau đó được gửi đến máy tính cục bộ của chúng tôi. Sau đó chúng tôi nhập thông tin đăng nhập được gửi đến máy chủ trang web. Nếu thông tin đăng nhập là chính xác, trang web sẽ phản hồi với một số loại mã thông báo xác thực, thường là cookie. Khi chúng tôi thực hiện thêm các yêu cầu từ máy tính của mình, cookie đó được gửi cùng với các yêu cầu đó để trang web biết chúng tôi là ai và không làm cho chúng tôi đăng nhập mỗi khi chúng tôi muốn đi đến một trang khác. Cookie đó là một mã thông báo nhạy cảm và có giá trị nếu bị đánh cắp.

Phát lại cuộc tấn công: Mallory có thể thực hiện một cuộc tấn công chơi lại. Vì cô ấy có tất cả dữ liệu của bạn, nên nó có thể phát lại một thứ gì đó mà bạn đã làm. Ví dụ: nếu bạn đã chuyển 100 tín dụng Runescape cho bạn bè của mình, việc gửi lại các gói bao gồm chuyển khoản ban đầu đó có thể gây ra chuyển khoản khác và hiện tại bạn đã rút được 200 tín dụng.

Thay đổi nội dung: Quay lại ví dụ về webmail, có lẽ bạn đã hướng dẫn luật sư của bạn giữ lại tiền của một giao dịch hợp pháp gần đây. Vì Mallory có tất cả các gói chứa email đó, nên cô ấy có thể thay đổi từ ‘giữ lại thành‘ phát hành Kiêu và tạo ra tất cả các loại nhầm lẫn. Đây là một kiểu tấn công MitM phổ biến mà chúng tôi đã thấy được sử dụng trong các cuộc tấn công bổ trợ của Trung tâm truyền thông Kodi và đây cũng là cuộc tấn công giả tưởng mà Mallory sử dụng để hạ bệ Tướng Bob.

Thiếu nội dung: Một biến thể khác của nội dung bị thay đổi là khiến nội dung đơn giản biến mất hoàn toàn. Có lẽ bạn đang chờ đợi một số tín hiệu để làm một cái gì đó. Mallory có thể đảm bảo nó không bao giờ đến.

Những gì bảo vệ tồn tại để ngăn chặn Man trong cuộc tấn công Trung?

Mặc dù những cách thức vô tận mà những cuộc tấn công này có thể diễn ra, nhưng thực sự chỉ có một vài điều được khai thác nhiều lần. Để bảo vệ chống lại các cuộc tấn công của MitM, phải có những điều sau đây:

Không bác bỏ: Tin nhắn đến từ người hoặc thiết bị mà nó nói đến từ.

Tin nhắn toàn vẹn: Tin nhắn không bị thay đổi do nó để lại quyền kiểm soát của người gửi

Hãy nhớ rằng từ ‘message, đang được sử dụng rộng rãi để chỉ nhiều khái niệm như email hoàn chỉnh hoặc gói dữ liệu thấp hơn trong ngăn xếp. Các khái niệm tương tự được áp dụng, bất kể loại dữ liệu.

Những cách để tránh trở thành nạn nhân của một cuộc tấn công MitM bao gồm:

Sử dụng HTTPS bất cứ khi nào có thể

Biểu ngữ HTTPS

Xem HTTPS trong thanh địa chỉ trình duyệt của bạn đảm bảo rằng kết nối của bạn đến trang web được mã hóa. Điều đó không có nghĩa là bạn nên tin tưởng trang web đó hơn bất kỳ trang nào khác, điều đó chỉ có nghĩa là dữ liệu của bạn được mã hóa khi nó di chuyển giữa thiết bị của bạn và trang web. Các trang web độc hại có thể đóng vai trò trong việc thiết lập cho bạn một cuộc tấn công MitM, do đó, phải trả tiền để thận trọng với mọi trang web bạn truy cập để đảm bảo bắt đầu hợp pháp.

HTTPS sử dụng Bảo mật lớp vận chuyển (TLS).

Lưu ý: TLS gần như được gọi không chính xác là SSL (Lớp cổng bảo mật). SSL là tiền thân của TLS nhưng tên dường như đã bị kẹt.

TLS và HTTP phối hợp với nhau để tạo ra HTTPS cung cấp mã hóa và không thoái thác. Khi trình duyệt của bạn lần đầu tiên kết nối với trang web HTTPS, nó sẽ đàm phán với máy chủ. Trong quá trình đó, trình duyệt kiểm tra chứng chỉ máy chủ để xác thực rằng nó đang kết nối với trang web mà nó nghĩ (không thoái thác) và cũng tạo ra một bộ các khóa mã hóa phiên. Các khóa đó được sử dụng trong suốt phiên tiếp theo để mã hóa dữ liệu, từ đó đảm bảo tính toàn vẹn của tin nhắn.

Để Mallory thay đổi thành công dữ liệu được gửi từ máy chủ đến bạn, cô ấy sẽ phải sở hữu cả khóa phiên của trình duyệt và máy chủ, cả hai đều không được truyền đi. Điều đó ngụ ý rằng cô ấy sẽ phải có quyền kiểm soát cả máy khách và máy chủ và nếu đó là trường hợp không cần thiết phải thực hiện một cuộc tấn công MitM ở nơi đầu tiên.

Có các plugin trình duyệt sẽ buộc trình duyệt của bạn sử dụng HTTPS bất cứ khi nào nó có sẵn trên một trang web. Vì nhiều trang web hỗ trợ HTTPS, nhưng không nhất thiết phải được định cấu hình để buộc các trình duyệt sử dụng nó, các plugin như thế này có thể giúp ích rất nhiều.

Sử dụng trình duyệt hỗ trợ Ghim khóa công khai

Một số cuộc tấn công MitM có thể rất phức tạp. Vì rất nhiều sự bảo vệ bắt nguồn từ TLS và mã hóa, và vì mã hóa khó bị phá vỡ, nên những kẻ tấn công tiên tiến có thể dễ dàng bắt chước một trang web hơn. Ví dụ: chứng chỉ TLS được các trình duyệt tin cậy vì chúng được ký bởi Cơ quan cấp chứng chỉ (CA) mà trình duyệt tin tưởng. Nếu Mallory thỏa hiệp thành công CA thì cô ấy có thể cấp chứng chỉ hợp lệ cho bất kỳ tên miền nào sẽ được các trình duyệt web tin cậy. Khi Mallory có thể mạo danh thành công một trang web hợp pháp, thách thức duy nhất còn lại là khiến người dùng truy cập trang web đó thông qua các kỹ thuật lừa đảo tiêu chuẩn.

Đây là trường hợp vào năm 2011 khi CA DigiNotar của Hà Lan bị xâm phạm và các chứng chỉ được tạo ra để lừa một số lượng lớn người dùng Gmail Iran từ bỏ tên người dùng và mật khẩu Google của họ.

Ghim khóa công khai HTTP (HPKP) là phương pháp theo đó chủ sở hữu trang web có thể thông báo cho các trình duyệt mà khóa công khai mà trang web sẽ sử dụng. Nếu một trình duyệt truy cập trang web đó và được cung cấp một số khóa công khai khác không có trong danh sách, đó là một chỉ báo cho thấy trang web đó, hoặc ít nhất là chứng chỉ TLS, không hợp lệ.

Việc ghim phải được thực hiện bởi chủ sở hữu máy chủ, nhưng bạn có thể tự bảo vệ mình với tư cách là người dùng bằng cách sử dụng trình duyệt hỗ trợ Ghim khóa công khai. Kể từ ngày này, Firefox (phiên bản 32), Chrome (phiên bản 56) và Opera (33) hỗ trợ nó; Internet Explorer và Edge thì không. Firefox có một cài đặt trong about: config có tên security.cert_pinning.enfor thi_level; 1 cho phép bạn vô hiệu hóa HPKP, nhưng tại sao bạn lại như vậy? Nếu bạn muốn kiểm tra xem trình duyệt của bạn có hỗ trợ HKPK hay không, hãy truy cập URL kiểm tra HPKP này. Nó trình bày các tiêu đề HPKP và khóa công khai không hợp lệ. Nếu trình duyệt của bạn hỗ trợ HPKP, nó sẽ hiển thị thông báo lỗi.

Sử dụng mạng riêng ảo (VPN)

VPN mosaik

VPN tạo một đường hầm được mã hóa giữa thiết bị của bạn và máy chủ VPN. Tất cả lưu lượng truy cập của bạn đi qua đường hầm này. Điều này có nghĩa là ngay cả khi bạn bị buộc phải sử dụng trang web không phải HTTPS hoặc ngay cả khi bạn đã bị lừa sử dụng điểm truy cập wifi độc hại, bạn vẫn duy trì mức độ bảo vệ chống lại MitM.

Hãy xem xét, vấn đề điểm truy cập wifi. Nếu bạn đã kết nối với điểm truy cập giả mạo Mallory, Mallory sẽ có thể thấy tất cả lưu lượng truy cập của bạn. Nhưng, vì tất cả lưu lượng truy cập của bạn được mã hóa khi sử dụng VPN, tất cả những gì cô ấy nhận được là một loạt các đốm màu được mã hóa không thể đọc được, cung cấp rất ít dữ liệu. Sử dụng VPN mọi lúc là một ý tưởng tốt, nhưng sử dụng nó trong các tình huống sơ sài như wifi công cộng là điều bắt buộc.

Sử dụng trình duyệt hỗ trợ HTTP Strict Transport Security (HSTS)

HTTPS là một bước rất tốt để ngăn chặn các cuộc tấn công MitM trên web, nhưng cũng có một điểm yếu tiềm ẩn. Để chủ sở hữu trang web buộc khách truy cập sử dụng HTTPS, có hai tùy chọn. Đầu tiên là tắt hoàn toàn cổng HTTP không được mã hóa 80 hoàn toàn. Điều này có nghĩa là mọi người đang cố gắng truy cập trang web bằng http: // sẽ không nhận được gì và trang web sẽ hết thời gian. Hầu hết các chủ sở hữu trang web không muốn khách truy cập của họ có trải nghiệm tiêu cực này, vì vậy thay vào đó họ để cổng 80 mở, nhưng chỉ sử dụng nó để gửi mã chuyển hướng HTTP 301 cho các trình duyệt đi https: //.

Trong thực tế, điều này hoạt động tốt, nhưng có một cơ hội cho kẻ tấn công thực hiện một cuộc tấn công hạ cấp trong quá trình chuyển hướng đó. Một cuộc tấn công hạ cấp có thể buộc một máy chủ web sử dụng các mật mã mã hóa yếu hơn, điều này làm cho một cuộc tấn công MitM tiếp theo dễ dàng hơn. Các trang web sử dụng HSTS gửi các tiêu đề đến trình duyệt trong lần kết nối đầu tiên hướng trình duyệt sử dụng HTTPS. Trình duyệt sau đó ngắt kết nối phiên hiện có và kết nối lại bằng HTTPS. Mặc dù điều này có vẻ như là một sự khác biệt nhỏ, nhưng nó làm giảm đáng kể vectơ tấn công của chuyển hướng HTTP sang HTTPS tiêu chuẩn. Hầu như tất cả các trình duyệt hiện đại đều hỗ trợ HSTS nhưng có rất nhiều trình duyệt trên thị trường, vì vậy phải trả tiền để xác nhận rằng trình duyệt cụ thể của bạn hỗ trợ nó.

Các cuộc tấn công MitM không liên tục

Nó cũng đáng chú ý rằng một số cuộc tấn công MitM khá không phù hợp và cơ bản. Ví dụ, không có nhiều chuyên môn kỹ thuật, Mallory có thể thiết lập hai địa chỉ email khớp với Alice và Bob, sau đó bắt đầu một cuộc trò chuyện với một trong số họ, có ý định là một địa chỉ khác. Vì nhiều ứng dụng email chỉ hiển thị các địa chỉ Tên và không phải địa chỉ email của họ, nên việc sử dụng này hoạt động thường xuyên hơn mức cần thiết. Sau đó, Mallory có thể vận hành cả hai hộp thư điện tử và ở giữa cuộc trò chuyện vô thời hạn.

Cách phòng thủ tốt nhất trước kiểu tấn công MitM này là cảnh giác. Tìm kiếm các dấu hiệu nhận biết như ngôn ngữ không phổ biến và di chuột qua địa chỉ email của người gửi để chắc chắn rằng đó là hợp pháp.

Ví dụ về các cuộc tấn công MitM đã biết

Tôi đã chạm vào wifi MitM và phát lại các cuộc tấn công, nhưng ở đó, hầu như không có giới hạn nào về cách các kỹ thuật MitM nói chung có thể được sử dụng như một cuộc tấn công. Bất kỳ quy trình nào có hai hoặc nhiều bên liên lạc với nhau (spoiler: that LÒ mọi điều) có những thứ phù hợp để một kẻ xấu tự tiêm vào giữa.

Ngộ độc ARP: Giao thức phân giải địa chỉ là anh hùng vô danh của mạng IP, đảm bảo các gói đến đúng card mạng mà họ đã định sẵn. Khi một gói vào mạng LAN đích, nó cần biết địa chỉ Điều khiển truy cập phương tiện (MAC) của card mạng mà nó định mệnh. Điều đó được thực hiện bởi một ARP, người có yêu cầu hỏi mọi máy tính trên mạng cục bộ, người có gói địa chỉ IP đích. Về lý thuyết, card mạng được gán địa chỉ IP phản hồi với địa chỉ MAC của nó và gói được gửi. Trong thực tế, không có xác thực nào được tích hợp trong giao thức ARP để Mallory có thể trả lời rằng cô ấy có IP đó và lưu lượng sẽ được chuyển đến cô ấy. Để biến cuộc tấn công này thành một MitM thực sự, cô ấy cũng phải đảm bảo gói tin được chuyển tiếp tới địa chỉ MAC chính xác..

Đánh cắp cảng: Đây là một cuộc tấn công nâng cao có thể được sử dụng trên các mạng lớn hơn sử dụng các thiết bị chuyển mạch mạng. Các bộ chuyển mạch chứa bảng Bộ nhớ Địa chỉ Nội dung (CAM) ghi lại các mối quan hệ giữa các địa chỉ MAC của thẻ mạng mà dịch vụ và các cổng tương ứng của chúng. Nếu không có thiết lập bảo mật nào khác, thì bảng CAM được xây dựng và xây dựng lại một cách linh hoạt với mỗi gói mà công tắc nhìn thấy. Kẻ tấn công có thể giả mạo một gói với địa chỉ MAC nạn nhân và công tắc sẽ ghi lại liên kết đó. Điều này có nghĩa là các gói tiếp theo dành cho nạn nhân sẽ được gửi đến kẻ tấn công thay thế.

Các cuộc tấn công của MitM rất khó bị phát hiện và không có hệ thống phòng thủ nào. Phần lớn, việc không có khả năng phòng thủ hoàn toàn trước các cuộc tấn công của MitM xuất phát từ thực tế là gần như không có kết thúc cho các kiểu tấn công mà kẻ xấu có thể nghĩ ra. Quá trình nhận một gói dữ liệu từ máy tính của bạn đến một máy chủ ở đâu đó trên internet bao gồm nhiều giao thức, nhiều ứng dụng và nhiều thiết bị như bộ định tuyến và chuyển đổi tất cả đều có tiềm năng được khai thác. Điều tốt nhất bạn có thể làm là trở thành người treo trái cây cao cấp và thực hiện các bước để làm cho việc trở thành nạn nhân của một cuộc tấn công MitM trở nên khó khăn hơn. Hầu hết các cuộc tấn công đều nhằm vào số lượng lớn người nhằm mang lại tiềm năng thành công lớn nhất. Trừ khi bạn là đối thủ được nhắm mục tiêu cụ thể bởi một kẻ thù, các bước trong bài viết này sẽ cung cấp một sự bảo vệ tốt.

Bạn cũng có thể thíchVPNUnder Hiểu các hoạt động ghi nhật ký và tìm kiếm VPNVPN70 + các trò lừa đảo trực tuyến phổ biến được sử dụng bởi bọn tội phạm mạng và kẻ lừa đảoVPNHow để loại bỏ phần mềm gián điệp miễn phí và sử dụng công cụ nào là VPN hợp pháp và chúng bị cấm ở đâu?

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map