Kaj je napad človeka na sredini in kako se mu lahko izognem?

Človek v napadu na SrednjiNapadi človeka na sredini (MitM) so že od zore. Načelo je preprosto - slabi fant se vstavi v sredino pogovora med obema stranema in prenaša sporočila drug drugemu, ne da bi se nobena stranka zavedala tretje osebe. V internetnem kontekstu to pomeni, da lahko srednja stranka prebere vse, kar jih pošlje katera koli stranka, in tudi spremeni.


Kako deluje človek v sredini??

V teh dneh se je fraza nanašala na dobesedno osebo na sredini. General Bob bi pošiljal svojega glasnika na konju, da bi polkovniku Alice sporočil, naj napadi levi bok. Lady Mallory, hudobni moški na sredini, bi zastražil ta sel in ukradel sporočilo. Nato bo polkovnik Alice sporočilo spremenila, naj se umakne nazaj, in poslala odgovor generalu Bobu, ki potrdi izvirne bočne ukaze. Kmalu zatem general Bob izgubi vojno v osupljivi taktični zadregi, ker je bil njegov levi bok popolnoma nezaščiten.

Internet MitM napadi imajo enako obliko. Pogost napad na MitM je Mallory, da na javni lokaciji postavi ponarejeno brezžično dostopno točko; kavarna na primer. Ponarejeni dostopni točki daje legitimno zveneče ime, kot je „coffeeshop-customer-free-wifi“ in preden se bodo dolge stranke namesto legitimne začele povezati s to dostopno točko. V tistem trenutku se je Mallory vstavila v podatkovni tok med vašo napravo in internetom na splošno in lahko zajame ves vaš promet. Če ne uporabljate šifriranja, to pomeni, da lahko Mallory zdaj prebere ves vaš promet in ga lahko tudi spremeni..

Možni izidi tega prestrezanja so:

Ugrabitev seje: Razmislite o primeru, ko za pošiljanje e-pošte uporabljate spletno pošto. Ko ste se prijavili v svojo spletno pošto, je Mallory prijela kopijo piškotka za preverjanje pristnosti, ko je bila poslana v vaš brskalnik, zdaj pa lahko piškotek uporabi tudi za dostop do vaše spletne pošte..

Opomba: V prejšnjih člankih sem opisal, kako internet dejansko deluje, in kako nam pravijo, da deluje. Na spletne strani se ne prijavljamo. Namesto tega naš brskalnik zahteva spletno mesto, ki je nato poslano na naš lokalni računalnik. Nato vnesemo svoje podatke za prijavo, ki jih pošljemo strežniku spletnega mesta. Če so poverilnice pravilne, bo spletna stran odgovorila z nekakšnim žetonom overjanja, običajno s piškotkom. Ko od računalnika vložimo nadaljnje zahteve, nam piškotek pošlje skupaj s temi zahtevami, tako da spletno mesto ve, kdo smo in se ne prijavi vsakič, ko želimo obiskati drugo stran. Ta piškotek je občutljiv znak in je dragocen, če ga ukradejo.

Ponovni napad: Mallory lahko izvede ponovni napad. Ker ima vse vaše podatke, je nekaj, kar ste storili, mogoče "predvajati". Na primer, če ste prijatelju nakazali 100 kreditov Runescape, lahko ponovno pošiljanje paketov, ki so sestavljeni iz tega izvirnega prenosa, povzroči še en prenos in zdaj vam je zmanjkalo 200 kreditov.

Spremenjena vsebina: Nazaj na primer spletne pošte, morda odvetniku naročite, naj zadrži sredstva za nedavno pravno transakcijo. Ker ima Mallory vse pakete, ki vsebujejo to e-poštno sporočilo, lahko spremeni besedo "zadrži" v "sprosti" in povzroči vsakršno zmedo. To je priljubljena vrsta napadov na MitM, ki smo jo videli v dodatkih napadov Medijskega centra Kodi, in tudi izmišljeni napad Mallory, ki je bil uporabljen za izpad generala Boba.

Manjkajoča vsebina: Druga različica spremenjene vsebine je, da vsebina preprosto popolnoma izgine. Morda čakate na signal, da nekaj storite. Mallory lahko poskrbi, da nikoli ne prispe.

Kateri zaščiti obstajajo, da bi človek preprečil napade na Srednjem?

Kljub neskončnim načinom izvajanja teh napadov je resnično le nekaj stvari, ki jih izkoriščamo vedno znova. Za zaščito pred napadi na MitM morajo obstajati:

Brez zavračanja: Sporočilo je prispelo osebo ali napravo, za katero pravi, da je prišla.

Celovitost sporočil: Sporočilo ni bilo spremenjeno, saj je prepustilo nadzor nad pošiljateljem

Upoštevajte, da se beseda „sporočilo“ splošno uporablja za sklicevanje na številne pojme, na primer popolna e-poštna sporočila ali pakete podatkov nižje v sveženju. Uporabljajo se isti koncepti, ne glede na vrsto podatkov.

Načini, kako preprečiti, da bi postali žrtev napada na MitM, vključujejo:

Kadar je mogoče, uporabite HTTPS

HTTPS pasica

Če v naslovni vrstici brskalnika vidite HTTPS, bo vaša povezava s spletnim mestom šifrirana. To ne pomeni, da bi morali temu spletnemu mestu zaupati bolj kot kateri koli drugi, ampak samo pomeni, da so vaši podatki šifrirani, ko potujejo med vašo napravo in spletnim mestom. Zlonamerna spletna mesta lahko igrajo vlogo pri nastavitvi napada na MitM, zato je treba biti previden pri vsakem spletnem mestu, ki ga obiščete, in se prepričajte, da je zakonito začeti z.

HTTPS uporablja zaščito transportnega sloja (TLS).

Opomba: TLS skoraj na splošno napačno imenujemo SSL (Secure Sockets Layer). SSL je predhodnik TLS-a, vendar se zdi, da se je ime zataknilo.

TLS in HTTP sodelujeta pri ustvarjanju HTTPS, ki zagotavlja šifriranje in nevračanje. Ko se vaš brskalnik prvič poveže s spletnim mestom HTTPS, se dogovarja s strežnikom. Med tem postopkom brskalnik preuči potrdilo strežnika, da preveri, ali se povezuje s spletnim mestom, za katerega misli (brez zavrnitve), in ustvari nabor ključev za šifriranje seje. Ti ključi se uporabljajo v celotni naslednji seji za šifriranje podatkov, kar posledično zagotavlja celovitost sporočila.

Da bi Mallory lahko uspešno spremenila podatke, ki jih pošilja s strežnika nanjo, bi morala imeti tako ključe brskalnika kot strežniške seje, od katerih nobena ne bo nikoli poslana. To pomeni, da bi morala imeti nadzor nad odjemalcem in strežnikom, in če bi bilo tako, najprej ne bi bilo treba namestiti napada MitM..

Obstajajo vtičniki brskalnika, ki bodo prisilili vaš brskalnik k uporabi HTTPS, kadar koli je na voljo na spletnem mestu. Ker mnoga spletna mesta podpirajo HTTPS, vendar niso nujno konfigurirana, da bi brskalnike prisilila v njegovo uporabo, lahko vtičniki, kot je ta, veliko pomagajo.

Uporabite brskalnik, ki podpira pripenjanje javnih ključev

Nekateri napadi na MitM so lahko zelo zapleteni. Ker veliko zaščite izhaja iz TLS in šifriranja in ker je šifriranje težko prebiti, lahko napredni napadalci lažje posnemajo spletno mesto. TLS certifikatom na primer zaupajo brskalniki, ker jih podpisujejo organi za potrdila (CA), ki jim brskalnik zaupa. Če Mallory uspešno kompromitira CA, lahko izda veljavna potrdila za katero koli domeno, ki ji bodo zaupali spletni brskalniki. Ko lahko Mallory uspešno predstavi zakonito spletno mesto, je edini preostali izziv privabiti uporabnike, da obiščejo to spletno mesto s pomočjo standardnih phishing tehnik.

Tako je bilo leta 2011, ko je bil nizozemski CA DigiNotar ogrožen in so bili ustvarjeni certifikati, s katerimi so se številnim iranskim uporabnikom Gmaila izmikali, da so se odrekli svojim Googlovim uporabniškim imenom in geslom.

Pripenjanje javnih ključev HTTP (HPKP) je metoda, s katero lahko lastniki spletnih strani brskalnike obvestijo, katere javne ključe bo spletna stran uporabila. Če brskalnik obišče to spletno mesto in mu je predstavljen kakšen drug javni ključ, ki ni na seznamu, je to pokazatelj, da spletno mesto ali vsaj potrdilo TLS ni veljavno.

Pripenjanje mora opraviti lastnik strežnika, vendar se lahko zaščitite kot uporabnik z brskalnikom, ki podpira pripenjanje javnih ključev. Od tega datuma jo podpirajo Firefox (različica 32), Chrome (različica 56) in Opera (33); Internet Explorer in Edge ne. Firefox ima nastavitev približno: config z imenom security.cert_pinning.enforcement_level; 1, ki omogoča onemogočanje HPKP, ampak zakaj bi to storili? Če želite preizkusiti, ali vaš brskalnik podpira HKPK, obiščite ta preskusni URL HPKP. Predstavlja glave HPKP in neveljaven javni ključ. Če vaš brskalnik podpira HPKP, bo prikazano sporočilo o napaki.

Uporaba virtualnega zasebnega omrežja (VPN)

VPN mozaik

VPN ustvari šifriran tunel med vašo napravo in strežnikom VPN. Ves vaš promet gre skozi tunel. To pomeni, da četudi ste prisiljeni uporabljati spletno mesto, ki ni HTTPS, ali pa če ste se že naveličali uporabe zlonamerne dostopne točke wifi, še vedno ohranjate določeno stopnjo zaščite pred MitM.

Razmislite, vprašanje dostopne točke wifi. Če ste povezani s ponarejeno dostopno točko Mallory, bo Mallory lahko videl ves vaš promet. Ker pa je ves vaš promet šifriran pri uporabi VPN-ja, je vse, kar dobi, kup nečitljivih šifriranih blobov, ki zagotavljajo zelo malo podatkov. Uporabo VPN-ja je ves čas dobra ideja, vendar ga je treba uporabljati v skromnih situacijah, kot je javni wifi.

Uporabite brskalnik, ki podpira HTTP strogo varnost prevoza (HSTS)

HTTPS je zelo dober korak k preprečevanju MitM napadov na spletu, vendar je tudi tam možna slabost. Da bi lastnik spletnega mesta prisilil obiskovalce k uporabi HTTPS, obstajata dve možnosti. Prvi je, da preprosto popolnoma izklopite nekodificirano HTTP vrata 80. To pomeni, da ljudje, ki poskušajo obiskati spletno mesto s pomočjo http: //, ne dobijo ničesar in spletna stran bo le zastarala. Večina lastnikov spletnih mest ne želi, da imajo njihovi obiskovalci to negativno izkušnjo, zato namesto tega zapustijo vrata 80 odprta, ampak jih uporabljajo samo za pošiljanje kode za preusmeritev HTTP 301, ki brskalnikom sporoči, da gredo na https: //.

V praksi to deluje dobro, vendar obstaja možnost, da napadalec med tem preusmeritvijo izvede napad Upadaj. Napad z znižanjem stopnje lahko prisili spletni strežnik k uporabi šibkejših kriptografskih šifrantov, kar olajša naslednji MitM napad. Spletna mesta, ki uporabljajo HSTS, pošljejo glave v brskalnik že med prvo povezavo, ki brskalnik usmeri k uporabi HTTPS. Nato brskalnik prekine obstoječo sejo in se znova poveže s HTTPS. Čeprav se to morda zdi majhna razlika, močno zmanjša napad vektorja standardnega HTTP na preusmeritev HTTPS. Skoraj vsi sodobni brskalniki podpirajo HSTS, vendar je na trgu veliko brskalnikov, zato je treba potrditi, da ga podpira vaš določen brskalnik..

Nelegantni napadi MitM

Omeniti velja tudi, da so nekateri napadi na MitM precej neelegantni in osnovni. Mallory lahko na primer brez posebnega strokovnega znanja postavi dva e-poštna naslova, ki se natančno ujemata z Alice in Bobom, in nato začne pogovor z enim od njih, pri čemer naj bi bil drugi. Ker veliko e-poštnih odjemalcev prikazuje samo imena naslovov in ne svoj e-poštni naslov, ta napaka deluje pogosteje, kot bi morala. Nato bo Mallory lahko upravljal oba elektronska polja in ostal nedoločen čas v sredini pogovora.

Najboljša obramba pred tovrstnimi napadi MitM je budna. Poiščite znake pripovedovanja, kot so nenavadni jezik, in se s kazalcem miške pomaknite nad e-poštnim naslovom pošiljatelja in se prepričajte, da je zakonit.

Primeri znanih napadov na MitM

Dotaknil sem se že MitM-jevega wifija in ponovnega napada, vendar skoraj ni omejitve, kako se splošne tehnike MitM lahko uporabljajo kot napad. Vsak postopek, ki ima dve ali več strank, ki komunicirajo (spoiler: to je vse) ima prave stvari, da si slabi fant lahko vbrizga v sredino.

ARP zastrupitve: Protokol za ločljivost naslovov je nepoškodovan junak omrežja IP, ki zagotavlja, da paketi prispejo do tiste omrežne kartice, ki jim je namenjena. Ko paket vstopi v ciljni LAN, mora poznati naslov dostopa do medija (MAC) omrežne kartice, ki mu je namenjen. To doseže ARP, ki ima zahtevo, ki vsak računalnik v lokalnem omrežju vpraša, "kdo ima" ciljni IP naslov paketa. Teoretično se omrežna kartica, ki ji je dodeljen IP naslov, odzove s svojim MAC naslovom in paket se dostavi. V protokolu ARP v avtentikaciji ni avtentikacije, da bi Mallory lahko odgovorila, da ima ta IP in promet ji bo dostavljen. Da bi bil ta napad pravičen MitM, bi moral zagotoviti tudi, da se paket posreduje na pravilen MAC naslov..

Kraja pristanišč: To je napreden napad, ki ga je mogoče uporabiti v večjih omrežjih, ki uporabljajo omrežna stikala. Stikala vsebujejo tabelo z naslovom, ki se lahko naslovi na vsebino (CAM), ki beleži razmerja med MAC naslovi omrežnih kartic, ki jih ponuja, in ustreznimi vrati. Če ni druge varnostne nastavitve, se tabela CAM dinamično gradi in obnovi z vsakim paketom, ki ga stikalo vidi. Napadalec lahko pokvari paket z MAC naslovom žrtve in stikalo bo zabeležilo to povezavo. To pomeni, da bodo naslednji napadalci, namenjeni žrtvi, namesto tega poslani napadalcu.

Napadi MitM je zelo težko zaznati in proti njemu ni "srebrne metke". V veliki meri ta nezmožnost popolne obrambe pred napadi na MitM izvira iz dejstva, da vrstam napadov, ki si jih slabi moški lahko zamislijo, skorajda ni konec. Proces prenosa paketa podatkov iz vašega računalnika v strežnik nekje na internetu vključuje veliko protokolov, veliko aplikacij in veliko naprav, kot so usmerjevalniki in stikala, ki vse lahko izkoristijo. Najboljše, kar lahko storite, je, da postanete "visoko viseči sadež" in ukrenete, da boste težje postali žrtev napada na MitM. Večina napadov je namenjena velikemu številu ljudi, da bi zagotovili največji potencial za uspeh. Korak v tem članku mora biti dobra obramba, če vas ne nasprotuje noben nasprotnik.

Morda vam bo všeč tudi VPNNerazumevanje beleženja VPN in nalog za iskanjeVPN70 + običajne spletne prevare, ki jih uporabljajo kibernetski kriminalci in prevarantiVPNKako brezplačno odstraniti vohunsko programsko opremo in katera orodja za uporaboVPNKje so VPN-ji zakoniti in kje so prepovedani?

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

33 − 29 =