Atak man-in-the-middle jest trudny do zidentyfikowania i obrony przed nim. Ataki MITM polegają na kontrolowaniu linii komunikacyjnych między ludźmi, komputerami lub serwerami. Ataki typu man-in-the-middle nie zawsze wymagają zainfekowanego komputera, co oznacza, że istnieje wiele możliwości ataku.
Czym więc jest atak typu man-in-the-middle i jak możesz uchronić się przed wpadnięciem w jego ofiarę?
Co to jest atak typu Man-in-the-Middle?
Ataki typu man-in-the-middle (MITM) miały miejsce przed komputerami. Ten typ ataku polega na włożeniu się napastnika między dwie strony komunikujące się ze sobą. Ataki typu man-in-the-middle to zasadniczo ataki polegające na podsłuchiwaniu.
Aby lepiej zrozumieć, jak działa atak typu man-in-the-middle, rozważ dwa poniższe przykłady.
Atak offline typu Man-in-the-Middle
Atak MITM offline wydaje się prosty, ale nadal jest używany na całym świecie.
Na przykład ktoś przechwytuje Twój post, czyta go, przepakowuje, a następnie wysyła do Ciebie lub Twojego pierwotnego odbiorcy. Następnie to samo dzieje się w odwrotnej kolejności, gdy osoba odpowiada, a pośrednik przechwytuje i odczytuje twoją pocztę w każdym kierunku.
Po prawidłowym wykonaniu nie będziesz wiedział, że ma miejsce atak MITM, ponieważ przechwytywanie i kradzież danych są dla Ciebie niewidoczne.
Przejęcie kanału komunikacyjnego między dwoma uczestnikami jest podstawą ataku typu man-in-the-middle.
Otwiera również inne możliwości oszustwa dla napastnika. Jeśli atakujący kontroluje środki komunikacji, może modyfikować przesyłane wiadomości. W naszym przykładzie ktoś przechwytuje i czyta pocztę. Ta sama osoba może zmodyfikować treść Twojej wiadomości, aby zapytać o coś konkretnego lub złożyć żądanie w ramach swojego ataku.
Ponieważ MITM kontroluje twoją komunikację, może następnie usunąć wszelkie późniejsze odniesienia do pytania lub prośby, nie pozostawiając cię mądrzejszym.
Atak online typu Man-in-the-Middle
Atak online typu man-in-the-middle działa w podobny sposób, chociaż w przypadku komputerów lub innego sprzętu cyfrowego zastępuje starą pocztę ślimakową.
Jeden wariant ataku MITM polega na połączeniu się z bezpłatnym publicznym Wi-Fi w kawiarni. Po nawiązaniu połączenia próbujesz połączyć się ze stroną internetową swojego banku.
Na potrzeby naszego przykładu napotkasz następnie błąd certyfikatu informujący, że witryna banku nie ma odpowiedniego certyfikatu szyfrowania. To ostrzega, że coś jest nie tak z konfiguracją strony internetowej banku i że trwa atak MITM.
Związane z: Co to jest certyfikat bezpieczeństwa witryny internetowej?
Certyfikaty bezpieczeństwa witryn internetowych pomagają zwiększyć bezpieczeństwo w Internecie podczas transakcji online. Oto jak działają certyfikaty bezpieczeństwa.
Jednak wiele osób po prostu klika ten komunikat o błędzie i mimo to uzyskuje dostęp do witryny banku. Logujesz się do portalu bankowego, wysyłasz pieniądze, płacisz rachunki i wszystko wydaje się w porządku.
W rzeczywistości osoba atakująca mogła skonfigurować fałszywy serwer i witrynę internetową, która naśladuje Twój bank. Kiedy łączysz się z fałszywym serwerem banku, pobiera on stronę internetową banku, modyfikuje ją nieco i przedstawia tobie. Wprowadzasz swoje dane logowania w normalny sposób, a te dane są wysyłane do serwera pośredniego.
Serwer MITM nadal loguje Cię do banku i normalnie prezentuje stronę. Ale serwer man-in-the-middle osoby atakującej przechwycił Twoje dane logowania i jest gotowy do wykorzystania.
W tym scenariuszu wczesnym ostrzeżeniem był błąd certyfikatu szyfrowania informujący, że konfiguracja witryny sieci Web jest nieprawidłowa. Serwer pośredni nie ma tego samego certyfikatu bezpieczeństwa co Twój bank, chociaż może mieć certyfikat bezpieczeństwa z innego miejsca.
Rodzaje ataków typu Man-in-the-Middle
Istnieje kilka różnych typów ataków MITM:
- Podszywanie się pod Wi-Fi: Atakujący może stworzyć fałszywy punkt dostępu Wi-Fi o tej samej nazwie, co lokalna opcja bezpłatnego Wi-Fi. Na przykład w kawiarni osoba atakująca może naśladować nazwę Wi-Fi lub stworzyć fałszywą opcję o nazwie „Gościnny Wi-Fi” lub podobną. Gdy połączysz się z fałszywym punktem dostępu, osoba atakująca może monitorować Twoją aktywność online.
- Podszywanie się pod HTTPS: Osoba atakująca oszukuje Twoją przeglądarkę, aby uwierzyła, że korzystasz z zaufanej witryny, przekierowując ruch na niezabezpieczoną witrynę. Gdy wprowadzasz swoje poświadczenia, osoba atakująca je kradnie.
- Przejęcie SSL: Podczas próby połączenia się z niezabezpieczoną witryną HTTP przeglądarka może przekierować Cię do bezpiecznej opcji HTTPS. Atakujący mogą jednak przejąć procedurę przekierowania, umieszczając odsyłacz do swojego serwera w środku, kradnąc Twoje dane i wszelkie wprowadzone dane uwierzytelniające.
- DNS Spoofing: System nazw domenowych pomaga nawigować po Internecie, zmieniając adresy URL w pasku adresu z tekstu czytelnego dla człowieka na adresy IP czytelne dla komputera. Fałszowanie DNS zmusza zatem przeglądarkę do odwiedzenia określonego adresu pod kontrolą osoby atakującej.
- Email Hijacking: Jeśli atakujący uzyska dostęp do skrzynki pocztowej lub nawet serwera poczty elektronicznej zaufanej instytucji (np. Banku), może przechwycić wiadomości e-mail klientów zawierające poufne informacje lub nawet rozpocząć wysyłanie wiadomości e-mail jako sama instytucja.
To nie jedyne ataki MITM. Istnieje wiele wariantów, które łączą różne aspekty tych ataków.
Związane z: Powody, dla których Twoja witryna potrzebuje certyfikatu SSL
Czy protokół HTTPS powstrzymuje ataki typu Man-in-the-Middle?
Powyższy scenariusz ma miejsce w serwisie bankowym, który używa HTTPS, bezpiecznej wersji protokołu HTTP. W związku z tym użytkownik napotyka ekran informujący, że certyfikat szyfrowania jest nieprawidłowy. Prawie każda witryna korzysta teraz z protokołu HTTPS, który można zobaczyć jako ikonę kłódki na pasku adresu, obok adresu URL.
Przez długi czas tylko witryny udostępniające poufne informacje korzystały z protokołu HTTPS. Norma się teraz zmieniła, zwłaszcza odkąd Google ogłosił, że będzie używać HTTPS jako sygnału rankingowego SEO. W 2014 roku, kiedy po raz pierwszy ogłoszono zmianę, od 1 do 2% z miliona najpopularniejszych witryn na świecie korzystało z protokołu HTTPS. Do 2018 roku liczba ta wzrosła, z ponad 50% z miliona najlepszych użytkowników korzystających z protokołu HTTPS.
Używając standardowego połączenia HTTP na niezaszyfrowanej witrynie internetowej, nie otrzymasz ostrzeżenia z naszego przykładu. Atak man-in-the-middle miałby miejsce bez żadnego ostrzeżenia.
Czy zatem protokół HTTPS chroni przed atakami MITM?
MITM i SSLStrip
Tak, HTTPS chroni przed atakami typu man-in-the-middle. Istnieją jednak sposoby, w jakie atakujący mogą pokonać HTTPS, usuwając dodatkowe zabezpieczenia zapewniane Twojemu połączeniu przez szyfrowanie.
SSLStrip to atak typu man-in-the-middle, który zmusza przeglądarkę do pozostania w trybie HTTP zamiast rozpoczynania korzystania z protokołu HTTPS, jeśli jest dostępny. Zamiast używać protokołu HTTPS, SSLStrip „usuwa” zabezpieczenia, pozostawiając zwykły stary protokół HTTP.
Możesz nawet nie zauważyć, że coś jest nie tak. W czasach, zanim Google Chrome i inne przeglądarki zaimplementowały duży czerwony krzyżyk na pasku adresu, aby powiadomić Cię, że korzystasz z niezabezpieczonego połączenia, SSLStrip pochłonął wiele ofiar. Wprowadzenie gigantycznej kłódki HTTPS z pewnością ułatwia zorientowanie się, czy korzystasz z protokołu HTTPS.
Kolejne ulepszenie bezpieczeństwa również obniżyło skuteczność SSLStrip: HTTP Strict Transport Security.
HTTP Strict Transport Security (HSTS) został opracowany w celu ochrony przed atakami typu man-in-the-middle, zwłaszcza atakami typu downgrade protokołu, takimi jak SSLStrip. HSTS to specjalna funkcja, która umożliwia serwerowi WWW zmuszanie wszystkich użytkowników do interakcji z nim wyłącznie przy użyciu protokołu HTTPS.
Nie oznacza to, że działa przez cały czas, ponieważ HSTS konfiguruje się z użytkownikiem dopiero po jego pierwszej wizycie. W związku z tym istnieje bardzo małe okno, w którym atakujący mógłby teoretycznie użyć ataku MITM, takiego jak SSLStrip, zanim HSTS zostanie wdrożony.
To nie wszystko. Niewielki upadek SSLStrip ustąpił miejsca innym nowoczesnym narzędziom, które łączą wiele typów ataków MITM w jeden pakiet.
Malware MITM
Użytkownicy muszą również walczyć z wariantami złośliwego oprogramowania wykorzystującymi ataki MITM lub wyposażonymi w moduły man-in-the-middle. Na przykład niektóre typy złośliwego oprogramowania, które atakują użytkowników Androida, takie jak SpyEye i ZeuS, umożliwiają atakującemu podsłuchiwanie przychodzącej i wychodzącej komunikacji smartfona.
Po zainstalowaniu na urządzeniu z Androidem osoba atakująca może wykorzystać złośliwe oprogramowanie do przechwycenia wszelkiego rodzaju komunikacji. Szczególnie interesujące są kody uwierzytelniania dwuskładnikowego. Atakujący może zażądać dwuskładnikowego kodu uwierzytelniającego w bezpiecznej witrynie internetowej, a następnie przechwycić go, zanim użytkownik będzie mógł zareagować lub nawet zrozumieć, co się dzieje.
Jak można się spodziewać, komputery stacjonarne również nie są wolne od zagrożeń. Istnieje wiele typów złośliwego oprogramowania i zestawów exploitów zaprojektowanych do ataków typu man-in-the-middle. I to nie wspominając o tym czasie Lenovo zainstalowało na swoich laptopach złośliwe oprogramowanie obsługujące SSLStrip przed wysyłką.
Jak chronić się przed atakiem typu Man-in-the-Middle?
Atak man-in-the-middle jest trudny do obrony. Atakujący ma tak wiele opcji, co oznacza, że ochrona przed atakiem MITM jest wielowymiarowa.
- Użyj HTTPS: Upewnij się, że każda odwiedzana witryna korzysta z protokołu HTTPS. Rozmawialiśmy o złośliwym oprogramowaniu SSLStrip i MITM, ale zapewnienie HTTPS jest nadal jedną z najlepszych opcji obrony. Aby uzyskać dodatkową warstwę ochrony, rozważ pobranie i zainstalowanie oprogramowania Electronic Frontier Foundation HTTPS wszędzie rozszerzenie przeglądarki, jedno z najlepsze rozszerzenia prywatności dla Google Chrome.
- Nie ignoruj ostrzeżeń: Jeśli Twoja przeglądarka poinformuje Cię, że coś jest nie tak z odwiedzaną witryną, Zaufaj temu. Ostrzeżenie dotyczące certyfikatu bezpieczeństwa może stanowić różnicę między przekazaniem swoich poświadczeń osobie atakującej a zachowaniem bezpieczeństwa.
- Nie używaj publicznej sieci Wi-Fi: Jeśli możesz w tym pomóc, nie korzystaj z publicznej sieci Wi-Fi. Czasami po prostu nie da się uniknąć korzystania z publicznego Wi-Fi. Jeśli musisz skorzystać z publicznego połączenia Wi-Fi, powinieneś pobrać i zainstalować VPN aby zwiększyć bezpieczeństwo połączenia. Ponadto zwracaj uwagę na ostrzeżenia dotyczące bezpieczeństwa przeglądarki podczas korzystania z publicznego połączenia Wi-Fi. Jeśli liczba ostrzeżeń przeglądarki nagle wzrośnie, może to wskazywać na atak MITM lub lukę w zabezpieczeniach.
- Uruchom i zaktualizuj oprogramowanie antywirusowe: Upewnij się, że oprogramowanie antywirusowe jest aktualne. Ponadto rozważ dodatkowe narzędzie bezpieczeństwa, takie jak Malwarebytes. Zanim zapytasz, tak, Malwarebytes Premium jest wart swojej ceny.
Ataki typu man-in-the-middle polegające na naruszeniu komunikacji. Jeśli wiesz, czego się spodziewać i wiesz, czego szukać, masz znacznie większą szansę na uniknięcie ataków MITM. Z kolei Twoje dane pozostaną bezpieczne i mocno w Twoim zasięgu.
Źródło zdjęcia: Andy Rennie na Flickr
Oto dlaczego szyfrowanie WEP po prostu nie jest wystarczająco dobre i dlaczego powinieneś przestać go używać na routerach bezprzewodowych w domu.
- Bezpieczeństwo
- Wi-Fi
- Bezpieczeństwo online
Gavin jest młodszym redaktorem dla Windows and Technology Explained, stałym współpracownikiem Really Useful Podcast, a także redaktorem siostrzanej witryny MakeUseOf, Blocks Decoded, skupiającej się na kryptografii. Posiada tytuł licencjata (z wyróżnieniem) w zakresie współczesnego pisania z praktykami sztuki cyfrowej zrabowanych ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie w pisaniu. Uwielbia herbatę, gry planszowe i piłkę nożną.
Zapisz się do naszego newslettera
Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Jeszcze jeden krok…!
Potwierdź swój adres e-mail w wiadomości e-mail, którą właśnie wysłaliśmy.