Що таке атака Людина в середині та як я можу цього уникнути?

Людина в атаці середньогоАтаки “Людина в середині” (MitM) були з самого світанку. Принцип простий – поганий хлопець вставляє себе в середину розмови між двома сторонами та передає повідомлення один одному, не знаючи жодної сторони про третю особу. В інтернеті це означає, що середня сторона має можливість читати все, надіслане будь-якою стороною, а також змінювати це.

Як працює атака Людина в середині?

За минулих днів фраза посилалася на буквальну людину посередині. Генерал Боб відправив свого гінця на коні, щоб сказати полковнику Алісі атакувати лівий фланг. Леді Меллорі, зла людина (посередник), заперечила б цього посланця і вкрала повідомлення. Потім вона змінить повідомлення полковнику Алісі, доручивши йому відступити назад, і надіслати відповідь генералу Бобу, визнавши оригінальні флангові накази. Незабаром після цього генерал Боб програє війну в приголомшливому тактичному збентеженні, оскільки його лівий фланг був абсолютно незахищеним.

Інтернет-атаки MitM приймають таку ж форму. Загальна атака MitM полягає в тому, щоб Mallory встановила підроблену точку бездротового доступу в загальнодоступному місці; наприклад, кав’ярня. Вона надає підробленій точці доступу законну звукову назву, таку як “coffeeshop-user-free-wifi”, і перед тим, як довгі клієнти почнуть підключатися до цієї точки доступу замість законної. З цього моменту Меллорі вставила себе у потік даних між вашим пристроєм та Інтернетом загалом і може захопити весь ваш трафік. Якщо ви не використовуєте шифрування, це також означає, що Mallory тепер може прочитати весь ваш трафік і потенційно змінити його.

Деякі можливі результати цього перехоплення:

Викрадання сесії: Розглянемо випадок, коли ви використовуєте веб-пошту для надсилання електронної пошти. Коли ви увійшли до своєї веб-пошти, Mallory схопила копію вашого файлу cookie для автентифікації, коли він був відправлений у ваш веб-переглядач, і тепер вона може використовувати цей файл cookie для доступу до вашої веб-пошти..

Примітка. У попередніх статтях я розповідав, як працює насправді Інтернет, а не те, як нам кажуть. Ми не “входимо” на веб-сайти. Швидше, наш браузер запитує веб-сайт, який потім надсилається на наш локальний комп’ютер. Потім ми вводимо свої реєстраційні дані, які надсилаються на сервер веб-сайту. Якщо облікові дані правильні, веб-сайт відповість якимось символом аутентифікації, зазвичай файлом cookie. Коли ми робимо додаткові запити від нашого комп’ютера, цей файл cookie надсилається разом із цими запитами, щоб веб-сайт знав, хто ми є, і не змушує нас входити в систему щоразу, коли ми хочемо перейти на іншу сторінку. Це печиво – це чутливий знак і є цінним, якщо його вкрадуть.

Повторна атака: Маллорі може здійснити атаку повтору. Оскільки у неї є всі ваші дані, ви можете “повторити” те, що ви зробили. Наприклад, якщо ви перенесли 100 кредитів Runescape своєму другові, повторна відправка пакетів, що складалися з оригінальної передачі, може спричинити ще одну передачу, і тепер у вас є 200 кредитів.

Змінений вміст: Поверніться до прикладу веб-пошти, можливо, ви доручаєте своєму адвокату відмовити кошти за недавню юридичну угоду. Оскільки у Маллорі є всі пакети, що містять цю електронну пошту, вона може змінити слово “утримати” на “випустити” і викликати всілякі плутанини. Це популярний тип атаки MitM, який ми бачили, як використовувались у додаткових атак Kodi Media Center, а також це вигадана атака, яку Маллорі використовував для збиття генерала Боба.

Відсутній вміст: Ще один варіант зміненого вмісту – це змусити контент просто зникнути зовсім. Можливо, ви чекаєте сигналу, щоб щось зробити. Маллорі може переконатися, що він ніколи не прибуде.

Які захисти існують для запобігання нападів на людину в середині?

Незважаючи на нескінченні способи, коли ці атаки можуть розігруватися, існує дійсно лише кілька речей, які експлуатуються знову і знову. Для захисту від атак MitM необхідно існувати:

Не відмова: Повідомлення надійшло від людини або пристрою, за яким він каже, що прийшов.

Цілісність повідомлення: Повідомлення не було змінено, оскільки воно залишило контроль над відправником

Майте на увазі, що слово “повідомлення” використовується в цілому для позначення багатьох понять, таких як повні електронні листи або пакети даних, розташовані нижче в стеку. Це ж поняття застосовується незалежно від типу даних.

Способи, як уникнути стати жертвою нападу MitM, включають:

Використовуйте HTTPS, коли це можливо

HTTPS банер

Якщо бачити HTTPS в адресному рядку веб-переглядача, то ваше з’єднання з веб-сайтом буде зашифровано. Це не означає, що ви повинні довіряти цьому веб-сайту більше, ніж будь-якому іншому, це просто означає, що ваші дані шифруються під час подорожі між вашим пристроєм та сайтом. Зловмисні веб-сайти можуть грати роль у налаштуванні на вас атаки MitM, тому варто бути обережними щодо кожного веб-сайту, який ви відвідуєте, щоб переконатися, що це законно, для початку.

HTTPS використовує безпеку транспортного рівня (TLS).

Примітка: TLS майже повсюдно неправильно називається SSL (Secure Sockets Layer). SSL є попередником TLS, але ім’я, схоже, застрягло.

TLS та HTTP працюють разом, щоб створити HTTPS, який забезпечує шифрування та невідшкодування. Коли ваш веб-переглядач вперше підключається до сайту HTTPS, він проводить узгодження з сервером. Під час цього процесу браузер вивчає сертифікат сервера, щоб підтвердити, що він підключається до веб-сайту, про який він думає (без відмови), а також створює набір ключів шифрування сеансу. Ці ключі використовуються протягом наступного сеансу для шифрування даних, що, в свою чергу, забезпечує цілісність повідомлення.

Щоб Меллорі успішно змінювала дані, що надсилаються з сервера на вас, їй доведеться мати як браузер, так і ключі сеансу роботи на сервері, жоден з яких ніколи не передається. Це означає, що їй доведеться мати контроль і над клієнтом, і над сервером, і якщо це так, то не потрібно було б в першу чергу монтувати атаку MitM.

Існують плагіни браузера, які змушують ваш браузер використовувати HTTPS, коли він доступний на сайті. Оскільки багато сайтів підтримують HTTPS, але вони не обов’язково налаштовані на те, щоб змусити браузери використовувати його, такі додатки можуть дуже допомогти.

Використовуйте браузер, який підтримує закріплення відкритого ключа

Деякі атаки MitM можуть бути дуже складними. Оскільки велика частина захисту пов’язана з TLS та шифруванням, а оскільки шифрування важко порушити, передовим зловмисникам може бути легше імітувати веб-сайт. Наприклад, сертифікатам TLS довіряють браузери, оскільки вони підписані органами сертифікації (CA), яким браузер довіряє. Якщо Меллорі успішно компрометує CA, вона може видавати дійсні сертифікати для будь-якого домену, якому довірятимуть веб-браузери. Після того, як Mallory може успішно представити себе законним веб-сайтом, єдиним залишається завдання змусити користувачів відвідувати цей сайт за допомогою стандартних фішинг-методів.

Так було у 2011 році, коли голландський ЦА DigiNotar був підданий компрометації та були створені сертифікати, щоб обманути велику кількість іранських користувачів Gmail відмовитися від своїх імен та паролів Google..

Закріплення відкритого ключа HTTP (HPKP) – це метод, завдяки якому власники веб-сайтів можуть інформувати браузери про те, які відкриті ключі веб-сайт буде використовувати. Якщо веб-переглядач відвідує цей веб-сайт і має якийсь інший відкритий ключ, який відсутній у списку, це є показником того, що сайт або принаймні сертифікат TLS недійсний.

Закріплення має бути здійснено власником сервера, але ви можете захистити себе як користувач, використовуючи браузер, який підтримує закріплення відкритого ключа. На цей день Firefox (версія 32), Chrome (версія 56) та Opera (33) підтримують його; Internet Explorer і Edge цього не роблять. Firefox має налаштування приблизно: config з назвою security.cert_pinning.enforcement_level; 1, що дозволяє вам відключити HPKP, але чому б це зробити? Якщо ви хочете перевірити, чи підтримує ваш браузер HKPK, відвідайте цю тестову URL-адресу HPKP. У ньому представлені заголовки HPKP та недійсний відкритий ключ. Якщо ваш браузер підтримує HPKP, він відобразить повідомлення про помилку.

Використання віртуальної приватної мережі (VPN)

VPN мозаїка

VPN створює зашифрований тунель між вашим пристроєм та сервером VPN. Весь ваш трафік проходить через цей тунель. Це означає, що навіть якщо ви змушені користуватися сайтом, який не є HTTPS, або навіть якщо вас обдурили використовувати зловмисну ​​точку доступу до Wi-Fi, ви все одно зберігаєте певну ступінь захисту від MitM.

Поміркуйте, питання точки доступу до wifi. Якщо ви підключились до підробленої точки доступу Mallory, Mallory зможе побачити весь ваш трафік. Але, оскільки весь ваш трафік шифрується під час використання VPN, все, що вона отримує, – це купа нечитабельних зашифрованих крапок, які надають дуже мало даних. Використовувати VPN весь час – це гарна ідея, але використовувати його у схематичних ситуаціях, таких як загальнодоступний wifi, є обов’язковим.

Використовуйте браузер, який підтримує сувору безпеку транспорту HTTP (HSTS)

HTTPS – це дуже хороший крок до запобігання атакам MitM в Інтернеті, але й там є потенційна слабкість. Для того, щоб власник веб-сайту змусив відвідувачів використовувати HTTPS, є два варіанти. Перший – це взагалі просто вимкнути незашифрований HTTP-порт 80. Це означає, що люди, які намагаються зайти на сайт за допомогою http: //, нічого не отримають, і сайт просто вимкнеться. Більшість власників веб-сайтів не хочуть, щоб відвідувачі мали цей негативний досвід, тому замість цього вони залишають відкритим порт 80, але використовують його лише для надсилання коду переадресації HTTP 301, який повідомляє браузерам пройти https: //.

На практиці це працює добре, але є можливість для зловмисника здійснити атаку з пониженням під час цього переадресації. Атака зниженого рівня може змусити веб-сервер використовувати слабкіші криптографічні шифри, що спрощує наступну атаку MitM. Веб-сайти, які використовують HSTS, надсилають заголовки до браузера під час першого підключення, яке спрямовує браузер на використання HTTPS. Потім браузер відключає існуючий сеанс і підключається знову за допомогою HTTPS. Хоча це може здатися невеликою різницею, воно значно зменшує вектор атаки стандартного HTTP на переадресацію HTTPS. Практично всі сучасні веб-переглядачі підтримують HSTS, але на ринку є багато браузерів, тому варто підтвердити, що ваш конкретний браузер підтримує його.

Нелегальні атаки MitM

Також варто зазначити, що деякі атаки MitM є досить неелегантними та елементарними. Наприклад, без особливих технічних знань, Меллорі може встановити дві адреси електронної пошти, які тісно відповідають Алісі та Бобу, а потім розпочати розмову з однією з них, вважаючи, що це буде інша. Оскільки багато клієнтів електронної пошти показують лише імена адрес, а не свою електронну адресу, ця помилка працює частіше, ніж повинна. Тоді Маллорі зможе керувати обома скриньками електронної пошти та залишатися в середині розмови на невизначений термін.

Найкращою захистом від цього типу атаки MitM є пильність. Шукайте знаки рекламних повідомлень, такі як незвичайна мова, і наведіть курсор миші на адресу електронної пошти відправника, щоб переконатися, що це законно.

Приклади відомих атак MitM

Я вже торкнувся Wi-Fi MitM і відтворював атаки, але майже немає обмеження в тому, як загальні методи MitM можуть бути використані як атака. Будь-який процес, в якому спілкуються дві або більше сторін (спойлер: це все) має правильні речі для поганого хлопця, щоб ввести себе в середину.

Отруєння ARP: Протокол роздільної здатності адреси – це невідповідний герой IP-мережі, який гарантує, що пакети отримують точну мережеву карту, для якої вони призначені. Після того, як пакет входить в локальну локальну мережу, він повинен знати адресу управління доступом до інформації (MAC) тієї мережевої карти, якій він призначений. Це досягається ARP-запитом, який запитує кожен комп’ютер у локальній мережі “хто має” IP-адресу пакета. Теоретично мережева карта, призначена для того, щоб IP-адреса відповідала своєю MAC-адресою, і пакет доставляється. На практиці немає автентифікації, вбудованої в протокол ARP, щоб Маллорі могла відповісти, що у неї є той IP, і трафік буде доставлений їй. Щоб ця атака була добросовісною MitM, вона повинна також переконатися, що пакет також пересилається на правильну MAC-адресу..

Порт крадіжки: Це вдосконалена атака, яку можна використовувати у великих мережах, які використовують мережеві комутатори. Перемикачі містять таблицю з адресною пам’яттю вмісту (CAM), яка записує взаємозв’язки між MAC-адресами мережевих карт, які вона обслуговує, та їх відповідними портами. Якщо іншої установки безпеки немає, то таблиця CAM динамічно будується та відновлюється з кожним пакетом, який бачить комутатор. Зловмисник може підробляти пакет з MAC-адресою жертви, і комутатор запише цю асоціацію. Це означає, що наступні пакети, призначені для жертви, будуть надіслані нападнику замість цього.

Нападів MitM дуже важко виявити, і проти нього немає жодної «срібної кулі». В основному ця нездатність повністю захищатися від атак MitM випливає з того, що типи атак, які поганий хлопець може придумати, майже не закінчується. Процес отримання пакета даних з вашого комп’ютера на сервер десь в Інтернеті передбачає безліч протоколів, безлічі додатків та багатьох пристроїв, таких як маршрутизатори та комутатори, всі з яких можуть використовуватись. Найкраще, що ви можете зробити, це стати «високо висячими фруктами» та вжити заходів, щоб зробити їх важче стати жертвою нападу MitM. Більшість атак спрямовані на велику кількість людей, щоб забезпечити найбільший потенціал для успіху. Якщо кроки не будуть спеціально націлені противником, кроки в цій статті повинні забезпечити добру захист.

Можливо, вам також сподобаєтьсяVPNПоняття журналів VPN та ордери на пошукVPN70 + поширені онлайнові афери, які використовуються кіберзлочинцями та шахраямиVPNЯк безкоштовно видаляти шпигунські програми та які інструменти використовуватиVPNЯкщо VPN є законними та де вони заборонені?

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me