14.12.2019
Man-In-The-Middle

Атаки типа Man-In-The-Middle: что нужно знать каждому

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

Киберпреступность сегодня распространена в разных формах, но одной из старейших и самых опасных является атака типа Man-In-The-Middle (MITM).

Дословно это переводится как «человек посередине», то есть когда преступник выступает в роли посредника при передаче информации. Этот тип киберпреступления является распространенным и разрушительным. Предлагаем ознакомиться с основными фактами о MITM и способами защиты от этой атаки.

Подслушивание, подделка и перехват сообщений - это преступления, известные уже тысячи лет. Любая информация, кроме той, что содержится в нашем мозге, может стать доступной другим людям, и не все они имеют хорошие намерения относительно вас.

И хотя перехват и подмена конфиденциальных данных наверняка случалась еще в доисторические времена, именно появление интернета предоставило для такого типа атак больше возможностей, чем раньше. Теперь у преступников есть немало вариантов, как запустить «свою руку» в частные коммуникации.

Что такое атака «человек по середине»?

Суть атаки man-in-the-middle довольно проста: преступник тайно перехватывает трафик с одного компьютера и отправляет его конечному получателю, предварительно прочитав и изменив в свою пользу.

Атаки MITM предоставляют преступнику возможность делать такие действия как подмена криптовалютного кошелька для похищения средств, перенаправление браузера на вредоносный веб-сайт или же просто пассивный сбор информации с целью ее дальнейшего преступного использования.

Каждый раз, когда третья сторона перехватывает интернет-трафик, это можно идентифицировать как атаку MITM. Такие действия совсем нетрудно совершить преступнику даже без надлежащей аутентификации. Например, общедоступные сети Wi-Fi является хорошим источником для MITM, поскольку ни маршрутизатор, ни подключенный компьютер не проверяют ее идентичность.

В случае публичной атаки через сеть Wi-Fi злоумышленник должен находиться вблизи и подключиться к той же сети, или же просто иметь компьютер в сети, способен перехватывать трафик. Не все атаки MITM требуют, чтобы злоумышленник физически находился рядом со своей жертвой, поскольку существует большое количество штаммов вредоносного программного обеспечения, которое способно похитить трафик и подменить информацию в любом месте, где есть возможность заразить компьютер жертвы.

Борьба с атаками MITM требует использования определенной формы проверки подлинности конечной точки, например TLS или SSL, которая применяет ключ идентификации, что в идеале не может быть поддельным. Следует отметить, что методы аутентификации становятся все более сильными, что ведет к сквозному шифрованию некоторых систем.

Двухфакторный метод аутентификации является одним из примеров повышенной защиты против атак MITM. Пароли становятся все менее надежными способами защиты учетных записей и систем, поэтому добавление второго фактора, такого как аппаратный ключ, дополнительный пароль или определенный PIN-код, вводимый отдельно от основного пароля, значительно затрудняет перехват трафика или взлом шифра для злоумышленника. Это не означает, что шифрованные данные невозможно сломать – хакерам часто удается подделать сертификат и выдавать фальшивые веб-ресурсы за официальные банковские веб-сайты или порталы входа, которые они используют для кражи информации.

Атаки MITM являются прекрасным примером гонки вооружений в киберпространстве: как только будет сломана новая форма шифрования, разработчики предложат новый тип защиты, который, в свою очередь, со временем также будет сломано.

атака Man-In-The-Middle

Самые известные примеры атак «человек посередине»

Наиболее знаменитая атака типа МИТМ, которая, правда, состоялась задолго до появления компьютера и интернета, называлась План Бабингтона.

В 1568 году сторонники заключенной королевы Шотландии Марии Стюарт написали ей зашифрованное письмо с просьбой поддержать покушение на королеву Британии Елизавету И. Ответ Марии был перехвачен агентами Елизаветы, которые изменили письмо таким образом, будто Мария просит заговорщиков идентифицировать себя. Конспираторы ответили на письмо, вложив перечень имен всех заговорщиков. Этот лист вновь был перехвачен «человеком посередине», что привело в дальнейшем к казни Марии и ее сторонников.

Впрочем, сегодня существует много примеров атак MITM уже на базе интернета.

Агентство национальной безопасности США (NSA) использовало свою способность перехватывать трафик и подделывать сертификаты SSL, вследствие чего получила возможность делать закладки в потенциально любые поисковые запросы Google. Эта атака была раскрыта в 2013 году, когда Эдвард Сноуден опубликовал секретные документы NSA.

Comcast был пойман на инъекции Java-скриптов в свой веб-трафик, что позволяло провайдеру показывать собственные рекламные ролики вместо тех, которые размещали посторонние сайты.

Недавно оказалось, что Superfish, программная утилита типа adware, сканирует SSL-трафик и устанавливает сертификаты, которые позволяют ему перехватывать и перенаправлять защищенный трафик.

Дефект в банковских приложениях на смартфонах Android открыл наличие десятков программ, способных выполнять атаки типа MITM.
Существует еще много примеров MITM-атак, но надо запомнить одно – атаки MITM были, есть и будут, пока существует интернет.

На кого охотятся киберпреступники с помощью атаки «человек посередине»?

Любое лицо или организация может стать объектом нападения МІТМ, но большинство этих преступлений имеет общую цель: финансовая выгода. Банки и банковские приложения являются популярными целями для атак MITM, поэтому хакеры стараются интегрировать вредоносный код на целевой сайт, который способен перехватить легитимный трафик.

Это не значит, что преступникам интересны только финансовые учреждения: любая информация, способная принести прибыль преступнику, может быть привлекательной для него. Сюда входят учетные записи социальных сетей, учетные данные интернет-магазинов, конфиденциальные базы данных, и тому подобное.

Интернет вещей (IoT) становится все более популярной целью для атак типа MITM, поскольку число устройств растет быстро, и технологии безопасности просто не успевают за ними. IoT-устройства также потенциально могут отправлять большие объемы личной информации о индивидуальных пользователей и компаний, что делает угон трафика перспективным делом для киберпреступников.

Корпорации, работающие с технологией Industrial Internet of Things (IIoT), сталкиваются с особым риском со стороны атак MITM по причине слабой защиты конфиденциальной информации, к которой имеют доступ машины IIoT. Атака типа MITM на системы IIoT может привести к остановке производства, манипуляций с продуктом, что производится, с целью сделать его менее качественным или безопасным, а также к похищению проприетарной информации, которую используют машины IIoT в производственном процессе.

Коротко говоря, каждый, кто передает конфиденциальную информацию через интернет, является потенциальной мишенью MITM, хотя атаки на банковский сектор является наибольшей угрозой за огромный объем вреда, который они способны сделать.

Типы атак «человек посередине»

Ниже перечислены основные типы атак Man-in-the-middle.

Фальшивые точки доступа точки беспроводного доступа, которые были установлены в защищенной сети без ведома администратора локальной сети. Они используются для присоединения компьютеров, настроенных на автоматическое подключение к Wi-Fi. Фактически компьютер «считает», что подключен к легитимной сети, а на самом деле это точка доступа, которая принадлежит мошенникам. Такой подход позволяет им контролируют трафик и похищать конфиденциальную информацию.

Address resolution spoofing – разновидность сетевой атаки, применяемая в сетях с использованием протокола ARP. Атака основана на возможности создания «фальшивого объекта вычислительной системы». Поскольку протокол ARP содержит уязвимости, скомпрометированный узел в локальной сети может объявить себя легитимным узлом (например, маршрутизатором), и в дальнейшем активно перехватывать сетевой трафик.

mDNS spoofing – одна из форм взлома компьютерных сетей. Вот как это работает: клиент с поддержкой протокола mDNS (Multicast DNS) выполняет запрос mDNS на групповую адрес (в локальной сети). Все клиенты, которые прослушивают этот адрес, в ответ сообщают их имена. Но если в сети есть два клиента с одинаковым именем, то «выигрывает» тот, который первым сообщит свое имя. Например, если вы хотите напечатать текст через текстовый редактор, ища узел printer.local, то злоумышленники могут легко отправить ответ на этот запрос DNS с поддельной ответом, который прикажет искать принтер по IP-адресам. Таким образом, киберпреступники получают возможность перехватить информацию.

DNS spoofing обычно используются для того, чтобы заставить интернет-пользователей подключаться к фальшивым веб-сайтам, созданных таким образом, чтобы они выглядели как настоящие. Этот метод является общепринятым в случаях онлайн-фрода и других атак, связанных с похищением учетной записи.

Как предотвратить атаки типа man-in-the-middle?

Защита от атак типа MITM требует нескольких действий, каждое из них имеет важное значение.

Не позволяйте компьютерам или мобильным устройствам автоматически подключаться к Wi-Fi-сетям, убедитесь, что они подключаются только к известным и проверенным сетям Wi-Fi.

Убедитесь, что все точки доступа, которые вы контролируете, защищены и зашифрованы. Злоумышленники, которые полагаются на физическую близость для проведения атак MITM, должны быть изолированы от вашей сети с помощью надежных средств безопасности.

Если вы подключаетесь к неизвестной или общедоступной сети Wi-Fi, обязательно используйте VPN-канал для защиты вашего трафика.
Никогда не отправляйте конфиденциальную информацию на веб-сайт, не использующий защищенный протокол HTTPS (URL-адрес сайта начинается с https: //).

Добавьте второй способ проверки подлинности ко всем учетным записям, которые поддерживают эту технологию.

Будьте осторожны относительно любых электронных писем, в которых вам предлагается перейти по веб-ссылке на другой сайт. Если вы не уверены в легальности электронного письма, перейдите к соответствующему веб-сайта вручную, не используя ссылки, поступившее по электронной почте. Также можно попробовать связаться с организацией, которой принадлежит этот сайт, чтобы узнать, насколько легитимным было получение электронного письма.

Убедитесь, что операционная система на компьютерах своевременно обновляется, чтобы предотвратить атаки MITM, использующие уязвимости ОС.
Установите новейшую антивирусную программу и убедитесь, что она настроена на регулярную проверку компьютера.

И хотя даже такие средства не смогут вас навсегда защитить от атаки MITM или других кибератак, это, как минимум, значительно уменьшит риски и убедит преступников, что они только зря потратят время, если попытаются вас атаковать.

  1. Последние
  2. Популярные
Загрузка...

Новости технологий сегодня

Самые популярные метки