Какво е атака на човек в средата и как мога да го избегна?

Човек в атака в средатаАтаките на човек в средата (MitM) са били от зората на времето. Принципът е прост - лош човек се вмъква в средата на разговор между две страни и препредава съобщенията на другия, без никоя от страните да е запозната с третото лице. В интернет контекст това означава, че средната страна има възможност да прочете всичко, изпратено от която и да е от страните, и също да го промени.

Как работи атаката на човек в средата?

Преди дни фразата се отнасяше за буквален човек по средата. Генерал Боб ще изпрати пратеника си на кон, за да каже на полковник Алис да атакува левия фланг. Лейди Малори, зъл (уау) мъж в средата, би затруднил този пратеник и откраднал съобщението. След това тя ще промени съобщението до полковник Алис, като го инструктира да се върне обратно и да изпрати отговор на генерал Боб, като потвърди първоначалните флангови заповеди. Малко след това генерал Боб губи войната в зашеметяващ тактически смут, тъй като левият му фланг е напълно незащитен.

Интернет MitM атаките приемат същата форма. Обща атака на MitM е Mallory да настрои фалшива точка за безжичен достъп на обществено място; кафене например. Тя дава на фалшивата точка за достъп легитимно звучащо име като „coffeeshop-клиент-безжичен wifi“ и преди дълго време клиентите да започнат да се свързват към тази точка за достъп вместо законната. В този момент Mallory се е вмъкнала в потока от данни между вашето устройство и интернет като цяло и може да улови целия ви трафик. Ако не използвате криптиране, това означава също, че Малори вече може да чете целия ви трафик и потенциално да го променя.

Някои възможни резултати от това прихващане са:

Отвличане на сесия: Помислете за случая, в който използвате уеб поща за изпращане на имейл. Когато влезете във вашата уеб поща, Mallory грабна копие на вашата бисквитка за удостоверяване, когато тя е изпратена до вашия браузър, и сега тя може да използва тази бисквитка, за да получи достъп до вашата уеб поща също.

Забележка: В предишни статии описах как всъщност работи мрежата, както и как ни се казва, че работи. Ние не „влизаме“ в уебсайтове. По-скоро браузърът ни изисква уебсайта, който след това се изпраща на нашия локален компютър. След това въвеждаме нашите идентификационни данни за вход, които се изпращат на сървъра на уебсайта. Ако идентификационните данни са верни, уеб сайтът ще отговори с някакъв вид маркер за удостоверяване, обикновено бисквитка. Когато отправяме допълнителни искания от нашия компютър, тази бисквитка се изпраща заедно с тези заявки, така че уебсайтът да знае кои сме и не ни кара да влизаме всеки път, когато искаме да отидем на друга страница. Тази бисквитка е чувствителен знак и е ценна, ако бъде открадната.

Replay атака: Mallory може да извърши атака с повторение. Тъй като тя разполага с всичките ви данни, е възможно да „преиграете“ нещо, което сте направили. Например, ако сте прехвърлили 100 кредита Runescape на свой приятел, повторното изпращане на пакетите, съставени от този оригинален трансфер, може да доведе до друг трансфер и вече имате 200 кредита.

Променено съдържание: Обратно към примера за уеб поща, може би инструктирате адвоката си да задържи средствата от неотдавнашна правна сделка. Тъй като Малори има всички пакети, съдържащи този имейл, тя може да промени думата „задръжте“ на „освобождаване“ и да причини всякакви обърквания. Това е популярен тип атака с MitM, която видяхме, използвана в добавки към атаки на Kodi Media Center, а също така е и измислена атака, която Малори използва, за да свали генерал Боб.

Липсва съдържание: Друг вариант на променено съдържание е да накара съдържанието просто да изчезне напълно. Може би чакате някакъв сигнал, за да направите нещо. Малори може да се увери, че никога не пристига.

Какви защити съществуват, за да предотвратят атаките на човек в Средния?

Въпреки безкрайните начини, по които тези атаки могат да се играят, наистина има само няколко неща, които се експлоатират отново и отново. За да се предпазите от атаки на MitM, трябва да съществуват следните:

Без отричане: Съобщението дойде от човека или устройството, от което пише, че е дошло.

Целостност на съобщението: Съобщението не е променено, тъй като остави контрола на подателя

Имайте предвид, че думата „съобщение“ се използва общо за обозначаване на много понятия като пълни имейли или пакети данни по-ниски в стека. Прилагат се едни и същи понятия, независимо от вида на данните.

Начините, по които да не станете жертва на атака с MitM, включват:

Използвайте HTTPS, когато е възможно

HTTPS банер

Виждането на HTTPS в адресната лента на браузъра ви гарантира, че връзката ви към уебсайта е криптирана. Това не означава, че трябва да се доверявате на този уебсайт повече от всеки друг, това просто означава, че вашите данни са криптирани, докато пътуват между вашето устройство и сайта. Зловредните уебсайтове могат да играят роля в настройката ви за атака с MitM, така че си струва да бъдете предпазливи за всеки уебсайт, който посетите, за да се уверите, че е законно да започнете с.

HTTPS използва сигурност на транспортния слой (TLS).

Забележка: TLS почти повсеместно неправилно се нарича SSL (Secure Sockets Layer). SSL е предшественик на TLS, но името изглежда е останало.

TLS и HTTP работят заедно за производството на HTTPS, който осигурява криптиране и неотблъскване. Когато браузърът ви се свърже за първи път с HTTPS сайт, той преговаря със сървъра. По време на този процес браузърът изследва сертификата на сървъра, за да потвърди, че се свързва към сайта, за който мисли (без отхвърляне) и също така генерира набор от ключове за криптиране на сесията. Тези клавиши се използват през цялата следваща сесия за криптиране на данни, което от своя страна гарантира целостта на съобщението.

За да успее Mallory да промени данните, изпращани от сървъра до вас, тя ще трябва да притежава както ключовете за браузъра, така и сървъра за сесия, нито един от които никога не се предава. Това означава, че тя ще трябва да има контрол и над клиента, и над сървъра и ако това беше така, нямаше да е необходимо да се монтира атака на MitM на първо място.

Има плъгини за браузъра, които ще принудят браузъра ви да използва HTTPS винаги, когато е наличен на даден сайт. Тъй като много сайтове поддържат HTTPS, но не са непременно конфигурирани да принуждават браузърите да го използват, приставки като този могат да помогнат много.

Използвайте браузър, който поддържа фиксиране на публичния ключ

Някои атаки на MitM могат да бъдат много сложни. Тъй като голяма част от защитата произтича от TLS и криптиране и тъй като криптирането е трудно да се счупи, за напредналите нападатели може да бъде по-лесно да имитират уебсайт. Например сертификатите на TLS се доверяват на браузърите, защото са подписани от сертификационни органи (CA), на които браузърът се доверява. Ако Mallory успешно компрометира CA, тя може да издава валидни сертификати за всеки домейн, на който уеб браузърите ще се доверяват. След като Mallory може успешно да се представи като легитимен уебсайт, единственото оставащо предизвикателство е да накарате потребителите да посещават този сайт чрез стандартни фишинг техники.

Такъв беше случаят през 2011 г., когато холандският CA DigiNotar беше компрометиран и бяха създадени сертификати, които да подмамят голям брой ирански потребители на Gmail да се откажат от потребителските си имена и пароли в Google.

Закрепването на публичните ключове HTTP (HPKP) е метод, при който собствениците на уебсайтове могат да информират браузърите кои публични ключове ще използват уебсайта. Ако браузър посещава този сайт и е представен с някакъв друг публичен ключ, който не е в списъка, това е индикатор, че сайтът или поне сертификатът TLS не е валиден.

Закрепването трябва да се извърши от собственика на сървъра, но можете да се защитите като потребител, като използвате браузър, който поддържа фиксиране на публичен ключ. Към тази дата Firefox (версия 32), Chrome (версия 56) и Opera (33) го поддържат; Internet Explorer и Edge не го правят. Firefox има настройка за about: config с име security.cert_pinning.enforcement_level; 1, която ви позволява да деактивирате HPKP, но защо бихте го направили? Ако искате да тествате дали браузърът ви поддържа HKPK, посетете този тестов URL адрес на HPKP. Представя HPKP заглавки и невалиден публичен ключ. Ако вашият браузър поддържа HPKP, той ще покаже съобщение за грешка.

Използване на виртуална частна мрежа (VPN)

VPN мозайка

VPN създава криптиран тунел между вашето устройство и VPN сървъра. Целият ви трафик минава през този тунел. Това означава, че дори да сте принудени да използвате сайт, който не е HTTPS, или дори ако сте били подмамени да използвате злонамерена точка за достъп до wifi, все още поддържате известна степен на защита срещу MitM.

Помислете, проблемът с точката за достъп до wifi. Ако сте свързани с фалшивата точка за достъп на Mallory, Mallory ще може да види целия ви трафик. Но тъй като целият ви трафик е криптиран при използване на VPN, всичко, което тя получава, е куп нечетливи криптирани петна, които предоставят много малко данни. Използването на VPN през цялото време е добра идея, но използването му в схематични ситуации като публичен wifi е задължително.

Използвайте браузър, който поддържа HTTP строга транспортна сигурност (HSTS)

HTTPS е много добра стъпка към предотвратяване на MitM атаки в мрежата, но има и потенциална слабост там. За да може собственикът на уебсайт да принуди посетителите да използват HTTPS, има две възможности. Първото е просто да изключите незашифрования HTTP порт 80. Това означава, че хората, които се опитват да стигнат до сайта с http: //, няма да получат нищо и сайтът просто ще изтече. Повечето собственици на уебсайтове не искат посетителите да имат това отрицателно изживяване, затова вместо това оставят порт 80 отворен, но го използват само за изпращане на код за пренасочване HTTP 301, който казва на браузърите да отидат на https: //.

На практика това работи добре, но има възможност атакуващият да извърши атака с понижение по време на това пренасочване. Атаката с понижение може да принуди уеб сървъра да използва по-слаби криптографски шифри, което улеснява последващата атака на MitM. Уебсайтове, които използват HSTS, изпращат заглавия към браузъра по време на първото свързване, които насочват браузъра да използва HTTPS. След това браузърът прекъсва съществуващата сесия и се свързва отново, използвайки HTTPS. Въпреки че това може да изглежда като малка разлика, това значително намалява вектора на атака на стандартното HTTP към пренасочване към HTTPS. Почти всички съвременни браузъри поддържат HSTS, но има много браузъри на пазара, така че плаща да потвърдите, че вашият конкретен браузър го поддържа.

Неелегантни MitM атаки

Също така си струва да се отбележи, че някои атаки на MitM са доста неелегантни и основни. Например, без много технически познания, Малъри може да зададе два имейл адреса, които съвпадат точно между Алис и Боб и след това да започне разговор с един от тях, като се смята, че е другият. Тъй като много клиенти на електронна поща показват само имената на адресите, а не имейл адреса си, това поведение работи по-често, отколкото трябва. Тогава ще бъде възможно Mallory да управлява и двете имейл кутии и да остане в средата на разговора за неопределено време.

Най-добрата защита срещу този тип атака на MitM е да бъдете бдителни. Потърсете знаци за предаване на информация като например нечестив език и задръжте курсора на мишката върху имейл адреса на изпращача, за да сте сигурни, че е легитимен.

Примери за известни MitM атаки

Докоснах се вече до MitM wifi и преигравам атаки, но почти няма ограничение за това как общите MitM техники могат да бъдат използвани като атака. Всеки процес, който има две или повече страни, комуникиращи (спойлер: това е всичко) има подходящите неща за лош човек, който да се инжектира в средата.

Отравяне с ARP: Протоколът за разрешаване на адреси е неразкрит герой на IP мрежите, който гарантира, че пакетите стигат до точната мрежова карта, за която са предназначени. След като пакетът влезе в локалната локална мрежа, той трябва да знае адреса за контрол на достъпа до медия (MAC) на мрежовата карта, за която е предназначен. Това се осъществява от ARP, който има заявка, която пита всеки компютър в локалната мрежа „кой има“ IP адреса на пакета. На теория мрежовата карта, назначена, че IP адресът отговаря със своя MAC адрес и пакетът се доставя. На практика няма автентификация, вградена в протокола ARP, така че Малори да отговори, че има този IP адрес и трафикът ще й бъде доставен. За да направи тази атака добросъвестна MitM, тя ще трябва също така да се увери, че пакетът се препраща към правилния му MAC адрес..

Порт кражба: Това е напреднала атака, която може да се използва в по-големи мрежи, които използват мрежови комутатори. Превключвателите съдържат таблица за адресируема памет (CAM), която записва връзките между MAC адресите на мрежовите карти, които обслужва, и съответните им портове. Ако няма друга настройка на защитата, CAM таблицата се изгражда динамично и се преустройва с всеки пакет, който превключвателят вижда. Нападателят може да излъже пакет с MAC адрес на жертвата и превключвателят ще запише тази връзка. Това означава, че следващите пакети, предназначени за жертвата, ще бъдат изпратени вместо нападателя.

MitM атаките са много трудни за откриване и няма „сребърен куршум“ защити срещу него. До голяма степен тази невъзможност за пълна защита срещу атаки на MitM произтича от факта, че почти няма край на видовете атаки, които лошият човек може да измисли. Процесът на получаване на пакет от данни от вашия компютър до сървър някъде в интернет включва много протоколи, много приложения и много устройства като рутери и комутатори, всички от които имат потенциал да бъдат използвани. Най-доброто, което можете да направите, е да станете „високо висящ плод“ и да предприемете стъпки, за да станете по-трудно да станете жертва на атака с MitM. Повечето атаки са насочени към голям брой хора, за да осигурят най-голям потенциал за успех. Стъпките в тази статия трябва да осигурят добра защита, освен ако не сте конкретно насочени от противник.

Може също да харесате VPNНеразбираеми VPN регистрация и заповеди за търсенеVPN70 + често срещани онлайн измами, използвани от киберпрестъпници и измамнициVPNКак да премахнете шпионския софтуер безплатно и кои инструменти да използватеVPNКой са VPN законните и къде са забранени?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

27 − 24 =

Adblock
detector