Mi az ember a középső támadásban, és hogyan lehet ezt elkerülni?

Ember a középső támadásbanA középső ember (MitM) támadása az idő hajnalától óta zajlik. Az elv egyszerű - a rosszfiú beilleszkedik a két fél közötti beszélgetés középpontjába, és továbbadja egymás üzeneteit anélkül, hogy egyik fél tudomása lenne a harmadik személyről. Internetes összefüggésben ez azt jelenti, hogy a középtávú fél képes mindent elolvasni, amelyet bármelyik fél küld, és megváltoztathatja.

Hogyan működik egy középső ember támadása??

A nap néhány napjában a kifejezés egy közepes személyre utalt. Bob tábornok lóháton küldte az üzenetét, hogy Alice ezredesnek szóljon a bal oldali támadáshoz. Lady Mallory, egy gonosz (jaj) ember a közepén, becsapja ezt a hírnököt, és ellopja az üzenetet. Ezután Alice ezredesre változtatta az üzenetet, utasítva őt, hogy térjen vissza, és visszaválaszolást küld Bob tábornoknak az eredeti kísérő utasítások elismerésével. Röviddel ezután Bob tábornok lenyűgöző taktikai zavarral veszíti el a háborút, mert bal oldali szárnya teljesen védtelen volt..

Az Internet MitM támadások ugyanolyan formában vannak. Általános MitM támadás Mallory számára, hogy hamis vezeték nélküli hozzáférési pontot hozzon létre egy nyilvános helyen; például egy kávézóban. A hamis hozzáférési pontnak legitim hangzó nevet ad, például „coffeeshop-customer-free-wifi”, és mielőtt a hosszú ügyfelek elkezdenek csatlakozni ehhez a hozzáférési ponthoz, a legitim helyett. Ezen a ponton Mallory beilleszkedett az adatfolyamba az eszköz és az internet között, és képes rögzíteni az összes forgalmat. Ha nem használja a titkosítást, ez azt is jelenti, hogy Mallory most már el tudja olvasni az összes forgalmat, és potenciálisan módosíthatja azt.

A lehallgatás néhány lehetséges következménye a következő:

Munkamenet eltérítése: Fontolja meg azt az esetet, amikor webmail segítségével e-mailt küld. Amikor bejelentkezett a webmailbe, Mallory megragadta a hitelesítési süti egy példányát, amikor azt elküldte a böngészőjének, és most a süti segítségével hozzáférhet a webmailhez is..

Megjegyzés: A korábbi cikkekben már ismertettem, hogyan működik az internet valójában, szemben azzal, hogy hogyan működik. Nem "jelentkezünk be" a webhelyekre. Inkább böngészőnk kéri a weboldalt, amelyet elküld a helyi számítógépünkre. Ezután beírjuk bejelentkezési hitelesítő adatainkat, amelyeket elküldünk a webhely szerverére. Ha a hitelesítő adatok helyesek, a webhely valamilyen hitelesítési jogkivonattal, általában egy cookie-val válaszol. Amikor további kéréseket teszünk a számítógépről, akkor a süti elküldésre kerül a kérésekkel együtt, hogy a webhely tudja, kik vagyunk, és nem kényszerít bejelentkezést minden alkalommal, amikor egy másik oldalra akarunk lépni. Ez a süti érzékeny token, és lopás esetén értékes.

Replay támadás: Mallory visszajátszási támadást hajthat végre. Mivel ő rendelkezik az összes adattal, lehetséges, hogy „újrajátssza” valamit, amit tett. Például, ha 100 Runescape-jóváírást adott át barátjának, akkor az eredeti átvitelt tartalmazó csomagok újbóli elküldése újabb átutalást okozhat, és Önnek már 200 kredit elmaradt..

Megváltozott tartalom: Vissza a webmail példához, talán arra utasítja az ügyvédet, hogy tartsa vissza a közelmúltbeli jogi tranzakciók pénzeszközeit. Mivel Mallory összes csomagját tartalmazza az e-mail, megváltoztathatja a „visszatartás” szót „kiadás” -ra, és mindenféle zavart okozhat. Ez a népszerű MitM támadás típusa, amelyet a Kodi Media Center kiegészítő támadásainál láttak, és ez egy kitalált támadás is, amelyet Mallory használt Bob lecsökkentésére..

Hiányzó tartalom: A megváltozott tartalom másik változata az, hogy a tartalom egyszerűen teljesen eltűnik. Lehet, hogy arra vár, hogy jelzést kapjon valami. Mallory ellenőrizheti, hogy soha nem érkezik meg.

Milyen védelem létezik az ember megakadályozására a középtámadások során?

Annak ellenére, hogy ezek a támadások végtelen módon játszhatók le, valójában csak néhány dolgot használnak újra és újra. A MitM támadások elleni védelem érdekében a következőkre van szükség:

Letagadhatatlanság: Az üzenet az a személy vagy eszköz jött, amelyről azt mondja, hogy jött.

Üzenet integritása: Az üzenet nem változott meg, mivel elhagyta a feladó irányítását

Ne feledje, hogy az „üzenet” szót általánosan használják olyan fogalmakra utalni, mint például a teljes e-mailek vagy az adatcsomagok a csomagban alacsonyabban. Ugyanazok a fogalmak vonatkoznak, az adatok típusától függetlenül.

A MitM támadás áldozatává válásának elkerülésének módjai a következők:

Ahol lehetséges, használja a HTTPS-t

HTTPS szalaghirdetés

Ha a HTTPS-t látja a böngésző címsorában, akkor biztosan biztosítja, hogy a webhelyhez való kapcsolat titkosítva legyen. Ez nem azt jelenti, hogy jobban bíznunk kell ebben a webhelyben, hanem csak azt jelenti, hogy az adatok titkosítva vannak, amikor az eszköz és a webhely között utazik. A rosszindulatú webhelyek szerepet játszhatnak a MitM támadás felállításában, ezért fizet minden óvatossággal meglátogatott webhely körül, hogy megbizonyosodjon arról, hogy a kezdettel jogszerű-e..

A HTTPS a Transport Layer Security (TLS) szolgáltatást használja.

Megjegyzés: A TLS-t szinte általánosan hibásan SSL-nek (Secure Sockets Layer) nevezik. Az SSL a TLS elődje, de úgy tűnik, hogy a név beragadt.

A TLS és a HTTP együtt dolgoznak a HTTPS előállításához, amely titkosítást és megtagadást biztosít. Amikor a böngésző először csatlakozik egy HTTPS webhelyhez, akkor tárgyal a szerverrel. A folyamat során a böngésző megvizsgálja a szerver tanúsítványát annak ellenőrzése érdekében, hogy csatlakozik-e a gondolkodó webhelyhez (nem tagadás), és létrehoz egy munkamenet-titkosítási kulcsot is. Ezeket a kulcsokat a következő munkamenet során az adatok titkosításához használják, ami viszont biztosítja az üzenet integritását.

Ahhoz, hogy Mallory sikeresen megváltoztassa a szerverről az ön számára küldött adatokat, mind a böngésző, mind a szerver munkamenet kulcsoknak rendelkezniük kell, ezek egyikét sem továbbítják. Ez azt jelenti, hogy ellenőrzés alatt kell állnia mind az ügyfél, mind a szerver felett, és ebben az esetben nem lenne szükség a MitM támadásra..

Vannak olyan böngészőbővítmények, amelyek arra kényszerítik böngészőjét, hogy HTTPS-t használjon, amikor az elérhető a webhelyen. Mivel sok webhely támogatja a HTTPS-t, de nem feltétlenül van úgy konfigurálva, hogy kényszerítse a böngészőket annak használatára, az ilyen pluginek sokat segíthetnek.

Használjon böngészőt, amely támogatja a Nyilvános kulcs rögzítését

Néhány MitM támadás nagyon bonyolult lehet. Mivel a védelem nagy része a TLS-ből és a titkosításból származik, és mivel a titkosítást nehéz megbontani, a haladó támadók könnyebben utalhatnak egy webhelyre. Például a TLS-tanúsítványokat a böngészők bízják meg, mert azokat a tanúsító hatóságok (CA) aláírták, amelyekre a böngésző megbíz. Ha Mallory sikeresen veszélyezteti a CA-t, akkor érvényes tanúsítványokat adhat ki minden olyan domainhez, amelyet a böngészők megbíznak. Amint Mallory sikeresen megszemélyesít egy legitim webhelyet, az egyetlen fennmaradó kihívás az, hogy a felhasználókat rászerezzék a webhelyre az adathalász technikákkal.

Ez volt a helyzet 2011-ben, amikor a holland CA DigiNotar kompromittálódott, és tanúsítványokat hoztak létre, hogy nagyszámú iráni Gmail-felhasználót becsapja a Google felhasználóneveik és jelszavaik feladására..

A HTTP nyilvános kulcs-rögzítés (HPKP) egy módszer, amellyel a webhelytulajdonosok tájékoztathatják a böngészőket arról, hogy mely nyilvános kulcsot a weboldal fogja használni. Ha egy böngésző meglátogatja azt a webhelyet, és más nyilvános kulcsmal együtt jelenik meg, amely nem szerepel a listán, az azt jelzi, hogy a webhely vagy legalábbis a TLS tanúsítvány nem érvényes.

A rögzítést a kiszolgáló tulajdonosának kell elvégeznie, de felhasználóként megvédheti magát egy nyilvános kulcs rögzítését támogató böngésző segítségével. Ettől a naptól kezdve a Firefox (32. verzió), a Chrome (56 verzió) és az Opera (33) támogatja; Az Internet Explorer és az Edge nem. A Firefox körülbelül egy olyan beállítást tartalmaz: config, amelynek neve security.cert_pinning.enforcement_level; 1, amely lehetővé teszi a HPKP letiltását, de miért tenné? Ha meg szeretné próbálni, hogy böngészője támogatja-e a HKPK-t, keresse fel ezt a HPKP-teszt URL-t. Bemutatja a HPKP fejléceket és érvénytelen nyilvános kulcsot. Ha böngészője támogatja a HPKP-t, akkor hibaüzenet jelenik meg.

Virtuális magánhálózat (VPN) használata

VPN mozaik

A VPN titkosított alagutat hoz létre az eszköz és a VPN szerver között. Az összes forgalom ezen az alagúton megy keresztül. Ez azt jelenti, hogy még akkor is, ha nem HTTPS-webhelyet kénytelenek arra kényszeríteni, vagy ha rosszindulatú wifi hozzáférési pont használatába kerültek, továbbra is bizonyos fokú védelmet élvez a MitM ellen.

Vegye figyelembe a wifi hozzáférési pont kérdését. Ha csatlakozik Mallory hamis hozzáférési pontjához, Mallory láthatja az összes forgalmat. Mivel azonban a forgalom titkosítva van egy VPN használatakor, csak egy csomó olvashatatlan titkosított blobot kap, amelyek nagyon kevés adatot szolgáltatnak. Jó ötlet a VPN állandó használata, de vázlatos helyzetekben, például nyilvános wifi-ben történő használata kötelező.

Használjon olyan böngészőt, amely támogatja a HTTP szigorú szállítási biztonságot (HSTS)

A HTTPS egy nagyon jó lépés a weben levő MitM támadások megelőzése felé, de ott is vannak potenciális gyengeségek. Két lehetőség van annak érdekében, hogy egy webhelytulajdonos kényszerítse a látogatókat a HTTPS használatára. Az első az, hogy egyszerűen állítsuk le teljesen a titkosítatlan 80-as HTTP portot. Ez azt jelenti, hogy az emberek, akik megpróbálják elérni a webhelyet a http: // segítségével, semmit sem kapnak, és a webhely csak időveszteséggel jár. A legtöbb webhelytulajdonos nem akarja, hogy a látogatói megszerezzék ezt a negatív élményt, ezért ehelyett nyitva hagyják a 80-as portot, hanem csak egy HTTP 301 átirányítási kód elküldésére használják, amely a böngészőknek https: //.

A gyakorlatban ez jól működik, de a támadónak lehetősége van Downgrade Attack végrehajtására ezen átirányítás során. Az alacsonyabb szintű támadás arra kényszerítheti a webszervert, hogy gyengébb rejtjelező rejtjeleket használjon, ami megkönnyíti a későbbi MitM támadást. A HSTS-t alkalmazó webhelyek fejléceket küldnek a böngészőnek az első csatlakozás során, amely a böngészőt a HTTPS használatához irányítja. Ezután a böngésző leválasztja a meglévő munkamenetet, és újracsatlakozik a HTTPS használatával. Noha ez kis különbségnek tűnhet, ez jelentősen csökkenti a szabványos HTTP támadási vektorát a HTTPS átirányításra. Szinte minden modern böngésző támogatja a HSTS-t, de nagyon sok böngésző található a piacon, ezért fizetni kell annak megerősítéséért, hogy az Ön konkrét böngészője támogatja-e azt..

Az elegáns MitM támadások

Érdemes megjegyezni, hogy néhány MitM támadás meglehetősen elegáns és alapvető. Például, egyáltalán nem sok technikai tapasztalat nélkül, Mallory két e-mail címet állíthat fel, amelyek szorosan megegyeznek Alice és Bob e-mailjeivel, majd beszélgetést kezdhetnek az egyikükkel, állítólag a másikkal. Mivel sok e-mail kliens csak a címek nevét jeleníti meg, és nem az e-mail címüket, ez a kényszer gyakrabban működik, mint kellene. Ezután Mallory mindkét e-mail fiókot üzemeltetheti, és határozatlan ideig a beszélgetés közepén maradhat.

A legjobb védekezés az ilyen típusú MitM támadások ellen az éberség. Keressen olyan jelzőtáblákat, mint a ritka nyelv, és vigye az egérmutatót a feladó e-mail címére, hogy megbizonyosodjon arról, hogy ez legitim.

Példák az ismert MitM támadásokra

Már megérintettem a MitM wifi-t és a visszajátszási támadásokat, de szinte nincs korlátozás arra, hogy az általános MitM technikák hogyan használhatók támadásként. Bármely folyamat, amelyben kettő vagy több fél kommunikál (spoiler: ez az minden) megfelelő dolgokkal rendelkezik egy rosszfiú számára, hogy beinjektálja magát a középső részbe.

ARP mérgezés: A Address Resolution Protocol az IP-hálózat nem énekelt hős, amely biztosítja, hogy a csomagok megkapják a kívánt hálózati kártyát. Amint egy csomag belép a cél-LAN-ba, tudnia kell annak a hálózati kártyanek a Media Access Control (MAC) címét, amelyre szánt. Ezt egy ARP, akinek van kérése, hajtja végre, amely megkérdezi a helyi hálózat minden számítógépét, „ki rendelkezik” a csomag rendeltetési IP-címével. Elméletileg az az IP-címhez hozzárendelt hálózati kártya a MAC-címével válaszol, és a csomag kézbesítésre kerül. A gyakorlatban nincs hitelesítés beépítve az ARP protokollba, így Mallory válaszolhatna, hogy rendelkezik ezzel az IP-vel, és a forgalmat neki továbbítják. Ahhoz, hogy ez a támadás jóhiszemű MitM-nek lehessen, akkor azt is biztosítania kell, hogy a csomagot továbbítsák a helyes MAC-címre is..

Port lopás: Ez egy speciális támadás, amelyet nagyobb hálózatokban is lehet használni, amelyek hálózati kapcsolókat használnak. A kapcsolók tartalmi címzett memóriát (CAM) tartalmaznak, amely rögzíti a szolgáltatott hálózati kártyák MAC-címeinek és a hozzájuk tartozó portoknak a kapcsolatát. Ha nincs más biztonsági beállítás, akkor a CAM táblát dinamikusan felépítik és újraépítik minden egyes csomaggal, amelyet a kapcsoló lát. A támadó elcsalogathatja a csomagot az áldozat MAC-címével, és a kapcsoló rögzíti ezt a társulást. Ez azt jelenti, hogy az áldozatnak szánt későbbi csomagokat inkább a támadónak küldik el.

A MitM támadásokat nagyon nehéz felismerni, és nincs „ezüstgolyó” védekezés. Ez a képtelenség a teljes védelemre a MitM támadásokkal szemben abból a tényből fakad, hogy szinte nincs vége a támadások típusának, amelyet egy rosszfiú fel tud gondolni. Az, hogy egy adatcsomagot a számítógépről egy szerverre az interneten szerveznek, sok protokoll, sok alkalmazás és sok eszköz, például útválasztók és kapcsolók igénybe vehető, amelyek mindegyike kihasználható. A legjobb, amit tehet, ha „magasan lógó gyümölcs” lesz, és lépéseket tesz annak érdekében, hogy nehezebbé váljon a MitM támadás áldozata. A legtöbb támadás nagy számú embert céloz meg annak érdekében, hogy a legnagyobb potenciált biztosítsák a sikerhez. Hacsak nem egy ellenfél kifejezetten megcélozza, akkor a cikkben szereplő lépések jó védelmet nyújtanak.

Lehet, hogy tetszik aVPNA VPN-naplózás és a keresés indokai is.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

37 − 30 =

Adblock
detector