Čo je to útok Človek v strede a ako sa mu môžem vyhnúť?

Muž v útoku na stredÚtoky Man in the Middle (MitM) sú tu už od úsvitu času. Princíp je jednoduchý - zlý človek sa vloží do rozhovoru medzi dvoma stranami a odovzdáva si navzájom správy bez toho, aby si ktorákoľvek strana uvedomila tretiu osobu. V kontexte internetu to znamená, že prostredná strana má možnosť prečítať všetko, čo poslala ktorákoľvek zo strán, a tiež ju zmeniť.


Ako funguje útok Muž v strede?

V dňoch yore sa táto veta vzťahovala na osobu, ktorá je doslovne uprostred. Generál Bob vyslal svojho posla na koni, aby povedal plukovníkovi Alice, aby zaútočil na ľavý bok. Lady Mallory, zlý (bláznivý) muž uprostred, by rozhneval toho posla a ukradol správu. Potom zmenila správu na plukovníka Alice, ktorá ho vyzvala, aby upadol, a poslal odpoveď generálovi Bobovi, ktorý potvrdil pôvodné sprievodné príkazy. Krátko nato stráca generál Bob vojnu v ohromujúcom taktickom rozpakoch, pretože jeho ľavý bok bol úplne nechránený.

Útoky na internet MitM majú rovnakú podobu. Bežným útokom na MitM je, že Mallory zriadil falošný bezdrôtový prístupový bod na verejnom mieste; napríklad kaviareň. Falošnému prístupovému bodu dáva legitímne znejúce meno, ako napríklad „coffeeshop-customer-free-wifi“ a predtým, ako sa k tomuto prístupovému bodu začnú pripájať dlhé zákazníci namiesto legitímneho. V tomto okamihu sa Mallory vložila do toku údajov medzi vašim zariadením a internetom vo všeobecnosti a dokáže zachytiť všetku vašu komunikáciu. Ak nepoužívate šifrovanie, znamená to, že Mallory môže teraz prečítať všetku vašu komunikáciu a prípadne ju zmeniť.

Niektoré možné výsledky tohto odpočúvania sú:

Únos relácie: Zvážte prípad, keď na odosielanie e-mailov používate webmail. Keď sa prihlásite k svojmu webmailu, Mallory pri jeho odoslaní do vášho prehliadača chytila ​​kópiu vášho autentifikačného súboru cookie a teraz môže tento súbor cookie použiť aj na prístup k vášmu webmailu..

Poznámka: V predchádzajúcich článkoch som opísal, ako web skutočne funguje, a ako nám hovoríme, že funguje. Na webové stránky sa „neprihlasujeme“. Náš prehliadač skôr požaduje webovú stránku, ktorá sa potom odošle na náš lokálny počítač. Potom zadáme prihlasovacie údaje, ktoré sa odosielajú na webový server. Ak sú poverenia správne, webová stránka odpovie nejakým autentifikačným tokenom, obyčajne súborom cookie. Keď od nášho počítača urobíme ďalšie žiadosti, tento súbor cookie sa odošle spolu s týmito žiadosťami, aby webový server vedel, kto sme a nenúti nás prihlásiť sa vždy, keď chceme ísť na inú stránku. Tento súbor cookie je citlivý token a pri odcudzení je cenný.

Opakovaný útok: Mallory môže vykonať opakovaný útok. Keďže má všetky vaše údaje, je možné „niečo prehrať“, čo ste urobili. Napríklad, ak ste preniesli 100 kreditov RuneScape na svojho priateľa, opätovné odoslanie paketov, ktoré obsahovali tento pôvodný prevod, môže spôsobiť ďalší prevod a máte teraz 200 kreditov.

Zmenený obsah: Vráťte sa k príkladu pre webmail, možno poverujete svojho právnika, aby zadržal prostriedky nedávnej právnej transakcie. Keďže Mallory má všetky pakety, z ktorých tento e-mail obsahuje, môže zmeniť slovo „zadržať“ na „prepustiť“ a spôsobiť nejasnosti. Toto je populárny typ útoku MitM, ktorý sme videli v doplnkových útokoch na Kodi Media Center, a je to tiež fiktívny útok, ktorý Mallory použil na zvrhnutie generála Boba..

Chýba obsah: Ďalšou variantom zmeneného obsahu je spôsobiť úplne zmiznutie obsahu. Možno čakáte na nejaký signál, aby niečo urobil. Mallory sa môže ubezpečiť, že nikdy nepríde.

Aká ochrana existuje, aby sa zabránilo útokom Človeka v strede?

Napriek nekonečným spôsobom, akými môžu tieto útoky hrať, je tu naozaj len pár vecí, ktoré sa znova a znova využívajú. Na ochranu pred útokmi MitM musia byť splnené tieto podmienky:

nepopierateľnosť: Správa prišla od osoby alebo zariadenia, z ktorého pochádza.

Integrita správ: Správa sa nezmenila, pretože ponechala kontrolu odosielateľa

Nezabúdajte, že slovo „správa“ sa používa všeobecne na označenie mnohých konceptov, ako sú úplné e-maily alebo dátové pakety nižšie v zásobníku. Platia rovnaké pojmy bez ohľadu na typ údajov.

Medzi spôsoby, ako sa vyhnúť tomu, aby ste sa stali obeťou útoku MitM, patria:

Ak je to možné, používajte HTTPS

HTTPS banner

Keď sa na paneli s adresou prehliadača zobrazí HTTPS, šifrovanie vášho pripojenia k webovej stránke. Neznamená to, že by ste mali dôverovať tomuto webu viac ako ktorýkoľvek iný, znamená to iba to, že vaše údaje sú počas prenosu medzi zariadením a webom šifrované. Škodlivé webové stránky môžu hrať úlohu pri príprave vás na útok MitM, takže sa vyplatí byť opatrný pri každom navštívenom webe, aby ste sa uistili, že je legitímne začať s.

HTTPS používa zabezpečenie transportnej vrstvy (TLS).

Poznámka: TLS sa takmer všeobecne nesprávne označuje ako SSL (Secure Sockets Layer). SSL je predchodcom TLS, ale zdá sa, že jeho meno uviazlo.

TLS a HTTP spolupracujú pri vytváraní protokolu HTTPS, ktorý poskytuje šifrovanie a nevypovedanie. Keď sa váš prehliadač prvýkrát pripojí k stránke HTTPS, vyjednáva so serverom. Počas tohto procesu prehliadač preskúma certifikát servera, aby overil, či sa pripája na web, na ktorý myslí (nevypovedanie), a generuje tiež sadu šifrovacích kľúčov relácie. Tieto kľúče sa používajú počas nasledujúcej relácie na šifrovanie údajov, čo zase zaisťuje integritu správy.

Na to, aby Mallory mohla úspešne zmeniť údaje odosielané zo servera k vám, by musela vlastniť kľúče relácie prehľadávača aj servera, z ktorých ani jeden nebol prenesený. To znamená, že by musela mať kontrolu nad klientom aj serverom, a ak by to tak bolo, nebolo by potrebné najprv nasadiť útok MitM..

Existujú doplnky prehliadača, ktoré vášho prehliadača nútia používať protokol HTTPS, kedykoľvek je k dispozícii na webe. Pretože veľa stránok podporuje protokol HTTPS, ale nie sú nevyhnutne nakonfigurované tak, aby používali prehliadače, takéto doplnky môžu veľa pomôcť.

Použite prehliadač, ktorý podporuje pripínanie verejných kľúčov

Niektoré útoky MitM môžu byť veľmi komplikované. Pretože veľká časť ochrany pramení z TLS a šifrovania a keďže je ťažké prerušiť šifrovanie, pokročilí útočníci môžu ľahšie napodobniť webovú stránku. Prehliadače napríklad dôverujú certifikátom TLS, pretože sú podpísané certifikačnými autoritami (CA), ktorým prehliadač dôveruje. Ak Mallory úspešne ohrozí CA, môže vydať platné certifikáty pre každú doménu, ktorej budú webové prehliadače dôveryhodné. Keď bude Mallory úspešne vydávať sa za legitímne webové stránky, zostávajúcou výzvou je iba prinútiť používateľov, aby navštívili tento web pomocou štandardných techník phishingu..

Toto bol prípad v roku 2011, keď bol ohrozený holandský CA DigiNotar a boli vytvorené certifikáty, ktoré podvádzajú veľké množstvo iránskych používateľov Gmailu, aby sa vzdali svojich používateľských mien a hesiel Google..

HTTP Public Key Pinning (HPKP) je metóda, pomocou ktorej môžu vlastníci webových stránok informovať prehliadače o tom, ktoré verejné kľúče bude web používať. Ak prehliadač navštívi túto stránku a zobrazí sa s iným verejným kľúčom, ktorý nie je na zozname, znamená to, že stránka alebo aspoň certifikát TLS nie sú platné..

Pripnutie musí vykonať vlastník servera, ale ako používateľ sa môžete chrániť pomocou prehliadača, ktorý podporuje pripájanie pomocou verejných kľúčov. Od tohto dátumu ho podporujú Firefox (verzia 32), Chrome (verzia 56) a Opera (33); Internet Explorer a Edge nie. Firefox má nastavenie okolo: config s názvom security.cert_pinning.enforcement_level; 1, ktorý vám umožňuje zakázať HPKP, ale prečo by ste to mali urobiť? Ak chcete otestovať, či váš prehliadač podporuje HKPK, navštívte túto testovaciu webovú adresu HPKP. Predstavuje hlavičky HPKP a neplatný verejný kľúč. Ak váš prehliadač podporuje HPKP, zobrazí sa chybová správa.

Použiť virtuálnu súkromnú sieť (VPN)

Mozaika VPN

VPN vytvára šifrovaný tunel medzi zariadením a serverom VPN. Celá vaša premávka prechádza týmto tunelom. To znamená, že aj keď ste nútení používať web, ktorý nie je HTTPS, alebo ak ste boli oklamaní používaním škodlivého prístupového bodu wifi, stále si zachovávate určitý stupeň ochrany pred MitM.

Zvážte problém s prístupovým bodom wifi. Ak ste sa pripojili k falošnému prístupovému bodu Mallory, Mallory uvidí všetku vašu komunikáciu. Keďže však všetka vaša prevádzka je šifrovaná pri používaní VPN, všetko, čo dostane, je veľa nečitateľných šifrovaných guličiek, ktoré poskytujú veľmi málo údajov. Vždy je dobré používať sieť VPN, ale je nevyhnutné ju používať v útržkovitých situáciách, ako je verejné wifi.

Použite prehliadač, ktorý podporuje HTTP Strict Transport Security (HSTS)

HTTPS je veľmi dobrý krok k prevencii útokov MitM na webe, existuje však aj potenciálna slabina. Aby majiteľ webových stránok prinútil návštevníkov používať protokol HTTPS, existujú dve možnosti. Prvým je úplne vypnúť nezašifrovaný port HTTP 80. Znamená to, že ľudia, ktorí sa pokúsia dostať na web pomocou protokolu http: //, nedostanú nič a stránka bude mať iba časový limit. Väčšina majiteľov webových stránok nechce, aby ich návštevníci mali túto negatívnu skúsenosť, takže namiesto toho nechávajú port 80 otvorený, ale používajú ho iba na odosielanie presmerovacieho kódu HTTP 301, ktorý prehliadačom povie, aby prešli https: //.

V praxi to funguje dobre, ale útočník má počas tohto presmerovania možnosť vykonať útok Downgrade Attack. Útok downgrade môže prinútiť webový server používať slabšie kryptografické šifry, čo uľahčuje následný útok MitM. Webové stránky, ktoré používajú HSTS, odosielajú hlavičky do prehliadača počas prvého pripojenia, ktoré smerujú prehliadač na používanie protokolu HTTPS. Prehliadač potom odpojí existujúcu reláciu a znova sa pripojí pomocou protokolu HTTPS. Aj keď sa to môže javiť ako malý rozdiel, výrazne sa znižuje vektor útoku štandardného presmerovania HTTP na HTTPS. Takmer všetky moderné prehliadače podporujú HSTS, ale na trhu je veľa prehliadačov, takže sa oplatí potvrdiť, že ho váš konkrétny prehliadač podporuje..

Inelegantné útoky na MitM

Za zmienku tiež stojí, že niektoré útoky na MitM sú dosť nepoddajné a základné. Napríklad, bez veľkého množstva technických znalostí, Mallory by si mohla vytvoriť dve e-mailové adresy, ktoré sa veľmi zhodujú s Alice a Bobovými, a potom začať konverzáciu s jednou z nich, pričom sa predpokladá, že je druhá. Pretože veľa e-mailových klientov zobrazuje iba názvy adries, a nie ich e-mailové adresy, táto lest funguje častejšie, ako by mala. Potom bude môcť Mallory prevádzkovať obe e-mailové schránky a zostať uprostred konverzácie na neurčito.

Najlepšou obranou proti tomuto typu útoku MitM je byť ostražitý. Ak chcete mať istotu, že je to legitímne, vyhľadajte značky, ako je napríklad neobvyklý jazyk a umiestnite kurzor myši na e-mailovú adresu odosielateľa..

Príklady známych útokov na MitM

Dotkol som sa už MitM wifi a opakovaných útokov, ale neexistuje takmer žiadny limit na to, ako sa dajú všeobecné techniky MitM použiť ako útok. Akýkoľvek proces, pri ktorom komunikujú dve alebo viac strán (spojler: to je všetko) má správne veci, aby sa zlý človek dostal do stredu.

Otrava ARP: Protokol riešenia rozlíšenia je nespôsobilý hrdina sietí IP, ktorý zaisťuje, že pakety dorazia na presnú sieťovú kartu, pre ktorú sú určené. Keď paket vstúpi do cieľovej siete LAN, musí poznať adresu Media Access Control (MAC) sieťovej karty, pre ktorú je určený. Dosahuje to požiadavka ARP, ktorá má požiadavku, ktorá žiada, aby každý počítač v miestnej sieti „kto má“ cieľovú adresu IP paketu. Sieťová karta teoreticky pridelená tejto IP adrese odpovedá svojou MAC adresou a paket je doručený. V praxi nie je v protokole ARP zabudovaná žiadna autentifikácia, takže Mallory mohla odpovedať, že má túto IP adresu a prevádzka jej bude doručená. Aby tento útok urobil v dobrej viere ako MitM, musela by tiež zaistiť, aby bol paket preposlaný na správnu MAC adresu..

Ukradnutie prístavu: Toto je pokročilý útok, ktorý je možné použiť na väčších sieťach, ktoré používajú sieťové prepínače. Prepínače obsahujú tabuľku CAM (Content Addressable Memory), ktorá zaznamenáva vzťahy medzi MAC adresami sieťových kariet, ktoré obsluhuje, a ich zodpovedajúcimi portmi. Ak neexistuje žiadne iné nastavenie zabezpečenia, tabuľka CAM sa dynamicky zostavuje a znovu vytvára s každým paketom, ktorý vidí prepínač. Útočník môže sfalšovať paket s MAC adresou obete a prepínač zaznamená toto priradenie. To znamená, že nasledujúce pakety určené pre obeť budú namiesto toho zaslané útočníkovi.

Útoky MitM sa dajú veľmi ťažko zistiť a neexistujú žiadne „strieborné guľky“. Táto neschopnosť úplne sa brániť proti útokom MitM je do veľkej miery spôsobená skutočnosťou, že typy útokov, ktoré môže zlý človek vymyslieť, takmer nekončia. Proces získavania paketu údajov z vášho počítača na server niekde na internete zahŕňa mnoho protokolov, veľa aplikácií a veľa zariadení, ako sú smerovače a prepínače, z ktorých všetky majú potenciál na využitie. To najlepšie, čo môžete urobiť, je stať sa „ovocím s vysokou visbou“ a podniknúť kroky, aby ste sa stali obeťou útoku MitM. Väčšina útokov je zameraná na veľké množstvo ľudí s cieľom poskytnúť najväčší potenciál úspechu. Ak nie ste konkrétnym cieľom protivníka, kroky v tomto článku by mali poskytnúť dobrú obranu.

Mohli by ste sa tiež páčiťVPNUndercepcie protokolovania VPN a príkazov na vyhľadávanieVPN70 + bežné podvody online, ktoré používajú počítačoví zločinci a podvodníciVPNAko odstrániť spyware zadarmo a ktoré nástroje na používanieVPN Kde sú VPN legálne a kde sú zakázané?

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

59 − = 53